ubuntu php 无法执行exec_LibreNMS v1.46 远程代码执行 (CVE201820434)

最新推荐文章于 2021-12-23 16:39:25 发布
最新推荐文章于 2021-12-23 16:39:25 发布
阅读量130 收藏
点赞数
文章标签: ubuntu php 无法执行exec

更多全球网络安全资讯尽在邑安全

www.eansec.com

06a72571efa3d662093c2c9034c60c69.png

一、LibreNMS简介

LibreNMS是基于PHP/MySQL/SNMP的开源网络监控工具,它可自动发现网络中的思科设备和Linux等系统,使用通用SNMP协议来监控其它系统。

二、漏洞介绍

该漏洞可以通过以下方式来触发:在添加新的设备时,在community(snmp配置时的一个字段)参数中添加任意命令的方式。随后该设备会向“addhost.inc.php”页面发送发送未经过滤的请求。然后调用capture.inc.php中的popen函数并执行参数,该函数的参数是你添加的任意命令。(可以通过向ajax_output.php发送请求进而调用capture.inc.php,参数为[file_name].inc.php)。

三、分析过程

我们首先分析LibreNMS,我的目标是在该项目中找到RCE(远程代码执行),我下载了项目源代码,第一步是通过python脚本搜索一些不安全的函数,例如system, exec, shell, exec, popen等,这些函数可能导致命令执行。

对执行脚本后的结果进行深入分析和挖掘,我在该文件(html/includes/output/capture.inc.php)第67行找到了一些有趣的代码,如下图所示:

be29927d11f5d07c1a274ca73010bce6.png

我们可以看到,该脚本使用popen函数执行$cmd中存储的命令并返回了命令执行后的结果。我们向上面继续寻找,会发现$cmd变量的赋值被包含在一个switch语句(脚本36行)中,如下图所示,可以分析出当$type(在脚本34行声明)的值等于snmpwalk时,调用gen_snmpwalk_cmd函数(脚本44行)。

 175f47027530f8eae53082a0e06471c9.png

显然,capture.inc.php文件对于用户传递的snmp协议请求做了处理。但现在我们把关注点放在gen_snmpwalk_cmd函数的调用上,调用后的结果会存储在$cmd变量中,然后作为参数传递给popen函数(capture.inc.php文件67行),该函数执行如下图所示的操作:

 ece27c8fffb80a89821c9d435afcc9d5.png

理论上讲,我们可以通过控制gen_snmp_cmd函数的返回值,并传递给popen,便可以获得想要的命令执行。我们接着进行分析,会发现该函数调用了snmp_gen_auth函数,snmp_gen_auth函数的实现在snmp.inc.php文件的768行,如下图所示:

 f64db65341af99dbfbd72c5abd7c2457.png

通过分析,我发现当调用gen_snmpwalk_cmd函数时,参数是设备ID,最终会调用snmp_gen_auth函数,该函数会获取传入设备ID相关的所有设备信息并存储到$cmd变量。我想我们可以通过控制snmp中的“community”字段,进而控制执行的命令。

如上图所示,在脚本的803行,我们可以模仿这种形式把我们的命令传入($(our_command))。

接下来,我们需要找到一个允许我们控制设备信息的入口,即“SNMP community”(snmp中的一个字段,用来鉴别在管理站点和一个包含SNMP信息的代理的路由器之间的信息发送。并将被发送到在管理器和代理之间的每个数据包)。我开始在LibreNMS中添加新的主机,并观察到每当我添加一个新的设备,其配置都会被保存。然后我可以通过snmp_gen_auth函数获取信息。

接下来,使用Karma(为开发人员提供高效的测试环境)发送一个未经过滤的POST请求,并包含我们修改后的community string,如下所示:请看html/pages/addhost.inc.php line文件的第52行:

d39668ed9c1043684ce34425c21b8a32.png

在第52行中,脚本检查输入的snmp版本是否为v1或v2c,第53行检测$_POST[‘community’]是否在POST请求中。第54行显示,如果$_POST[‘community’]存在,则传递给应用程序并添加到snmp的配置中。所以我们可以通过控制community字段进而注入任意命令。

因此,我们可以通过执行以下操作来获取RCE:

1.添加新设备,并修改community string字段,注入任意命令。==> 可以通过向addhost.inc.php发送请求来实现。

2.发送一个请求,触发popen函数。该函数会执行参数中的命令,这个参数通过其它函数获得,并会把community string传入其中。==> 可以通过向capture.inc.php发送请求来实现命令触发。

如下图所示,我们添加新设备,向addhost页面发送请求,该请求将由addhost.inc.php文件进行处理,可以看到如下内容:

 a2fa227d8cd537a6a2c71c5c6528ed39.png

然后触发popen函数,我们需要向ajax_output.php发送请求,ajax_output.php位于html/ajax_output.php下。如下图所示,该请求会调用capture.inc.php:

deb55ea3cfdb402536954712d14f1f94.png

如果$_request [‘id’]被捕获,将调用capture.inc.php(第35行)并从Web界面发送请求。通过http://server/device/device=2/tab=capture/ ==> snmp ==> run链接,我们可以看到对应内容,如下图所示:

 5e542cfa34c113da95526238337c9d60.png

可以看到,请求返回200 OK。这表示我们分析的函数被成功调用,并且我们找到了修改后的community string:“test string”。我们可以成功获取RCE。

您也可以通过github获取完整的漏洞利用代码。

最终演示结果如下图:

 f9dc3144ee2e3f6e4c47817347657137.png

原文链接:https://shells.systems/librenms-v1-46-remote-code-execution-cve-2018-20434

欢迎收藏并分享朋友圈,让五邑人网络更安全

e6f232f69b1657e0b9092c2ec69b3baf.png

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!

推荐文章

1

Django入门之旅-启程

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 

weixin_39785858
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
librenms-seos
03-11
librenms-seos
網管利器!開源管理系統-LibreNMS
weixin_30886233的博客
02-24 349
https://www.4rbj4.com/442 https://www.ichiayi.com/wiki/tech/librenms 转载于:https://www.cnblogs.com/diyunpeng/p/10428727.html
vagrant-librenms:Vagrant LibreNMS 环境
05-29
Vagrant LibreNMS 在科学 linux (6) VM 中基本提供 ,使用 nginx 用户名 密码 网址 admin admin 要求 Vagrant - 便携式开发环境管理器 安装 $ git clone git@github.com:jacobgardiner/vagrant-librenms.git $ cd vagrant-librenms $ vagrant up 在本地创建一个主机文件条目,以便 librenms.local -> 192.168.56.111 192.168.56.111 librenms.local 贡献 # when starting a new feature or bugfix # make sure you are on master and it is up to date $ git checkout master
PHP远程控制cmd,通过PHP远程机器上执行命令
weixin_39965881的博客
03-09 201
通过服务器A上的PHP运行SSH命令到服务器B.要使用PHP在Linux上运行命令,请使用exec()命令.我希望这会让你开始寻找正确的方向.查看这两个帖子以自动化密码提示这是一个使用非工作代码的快速示例,可以让您思考:$server = "serverB.example.org";//ip address will work too i.e. 192.168.254.254 just make ...
vue-api-librenms
02-18
Vue-librenms 在没有安全性的情况下运行Google Chrome google-chrome-stable --disable-web-security --user-data-dir= $PWD /browser & > /dev/null & 项目设置 yarn install 编译和热重装以进行开发 yarn serve 编译并最小化生产 yarn build 整理和修复文件 yarn lint 自定义配置 请参阅。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
最新发布
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x ...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
将 Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
librenms-faststart:FreeNMS 快速安装脚本
06-02
快速安装脚本 如何安装? 通过 wget 下载 wget -O install.sh https://raw.githubusercontent.com/joubertredrat/faststart/master/install.sh 或者通过卷曲 curl -Lo install.sh https://raw.githubusercontent.com/joubertredrat/faststart/master/install.sh 并运行 chmod +x install.sh ./install.sh
librenms:基于社区的GPL许可的网络监视系统
02-03
介绍 LibreNMS是基于PHP / MySQL / SNMP的自动发现的网络监控,其中包括对广泛的网络硬件和操作系统的支持,包括Cisco,Linux,FreeBSD,Juniper,Brocade,Foundry,HP等。 我们希望LibreNMS成为一个可行的项目和社区,以: 鼓励贡献, 关注用户的需求,以及 为所有人提供一个热情友好的环境。 将是我们优先系统的基础,相互尊重是我们对待他人行为的基础。 有关我们要建立的文化的更多信息,请阅读,包括和。 文献资料 可以在或找到,包括安装和提供说明。 参与 您可以通过以下方式参与该项目: 在或与我们交谈。 加入 完善。 克隆并在github上提交。 关于我们社区的 有关更多详细信息,请参见。 虚拟机映像 您可以通过下载VM映像来尝试LibreNMS。 当前,提供了基于Ubuntu的映像,并已通过进行了测试。 下载我们可用的之一,并提供详细说明登录凭据和设置详细信息的文档。 执照 版权所有(C)2006-2012 Adam Armstrong LibreNMS各个贡献者的版权(C)2013-2020 该程序是免
ansible-librenms:在Debian服务器上部署libreNMS
02-06
在Debian服务器上部署LibreNMS的角色。 所需变量 monitor_admin_email :监视服务器管理员的电子邮件地址。 monitor_admin_name :监视服务器管理员的名称。 monitor_location :监视服务器的位置。 以下是默认值,但应自定义: librenms_version :要从GitHub克隆的LibreNMS的版本(分支或标记)。 默认值:主 librenms_db_root_pass :数据库根用户的密码。 默认值: changeme librenms_db_pass :LibreNMS数据库用户的密码。 默认值: changem
应用开源OpenNMS实现网络监控和报警
05-06
本文主要介绍湖南省疾控中心利用开源的企业级网络管理平台OpenNMS实现对数据中心的网络设备、服务器、应用实时监控.特别是在经费有限,并且还缺少短信网关、私有邮件服务器的情况下,以最少代价实现及时发现网络瓶颈和故障报警.HP Data Protector (以下简称DP)是惠普公司提供的一款备份软件,本文同时也介绍了HP DP的报告和报警功能的使用,并且以HP DP报警为例演示OpenNMS邮件报警功能.
deviceMap:LibreNMS插件可定位室内设备
05-07
deviceMap LibreNMS插件可定位室内设备
LibreNMS使用Packer为 VMware Workstation Pro自动化构建Ubuntu 20.04 虚拟机映像
allway2的博客
12-23 321
GitHub - librenms/packer-builds: This repo is where virtual images are created and storedThis repo is where virtual images are created and stored - GitHub - librenms/packer-builds: This repo is where virtual images are created and storedhttps://github.com/
开源的SNMP网管系统LibreNMS
热门推荐
wbsu2004的博客
09-21 1万+
什么是 SNMP ? 简单网络管理协议( SNMP) 是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)获知网络出现问题。【百度百科】 什么是 LibreNMSLibreNMS 是一套开源、功能齐全的网络监控系统,基于 PHP 、MySQL、SNMP 技术开发,提供丰富的功能和设备支持。 前言 对于熟.
开源监控LibreNMS:全功能网络监控
qq_40907977的博客
01-29 8107
一、LibreNMS简单介绍 LibreNMS是一个功能齐全的开源网络监控系统,它使用SNMP来获取来自不同设备的数据,LibreNMS支持各种设备如Cisco Linux FreeBSD Juniper Brocade Foundry HP等,它支持多种身份验证机制,并支持双因素身份验证。它有一个可定制的警报系统,可以通过电子邮件,IRC或slack通知网络管理员。 二、LibreNMS特点: 1、它使用这些协议自动发现整个网络:CDP,FDP,LLDP,OSPF,BGP,SNMP和ARP。 2、它有一个
服务器监控工具_8款服务器和应用性能监控工具
weixin_39902345的博客
12-14 880
每个网络管理员对性能监控的理想选择都略有不同,有的人希望查看资源使用的每个细节,优化所有应用,有的人对服务响应和正常运行时间更感兴趣。因此,找到适合你需求的正确服务器监控是网络优化的重要组成部分,下面就给大家介绍8款服务器和应用性能监控工具。1、SolarWinds Server and Application Monitor它是SolarWinds开发的总体Orion平台系列中的独立产品。多功能...
PHP 远程代码执行漏洞(CVE-2022-31625)修复办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修复方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞修复通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值