Cacti命令执行漏洞分析 (CVE-2022-46169)

最新推荐文章于 2024-08-19 22:44:02 发布
最新推荐文章于 2024-08-19 22:44:02 发布
阅读量4k 收藏 4
点赞数 3
分类专栏: 漏洞分析 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42353842/article/details/128219854
版权

一、漏洞背景

Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。

在本漏洞中,攻击者可通过控制由get_nfilter_request_var()函数检索的参数$poller_id,以及构造local_data_ids参数,满足poller_item =POLLER_ACTION_SCRIPT_PHP条件,触发proc_open()函数,从而导致命令执行。

二、影响版本

Cacti < 1.2.23

三、漏洞分析

从漏洞补丁可以看出,本次漏洞点主要存在于lib/functions.php、remote_agent.php,2个文件中。

Merge pull request from GHSA-6p93-p743-35gf · Cacti/cacti@7f0e163 · GitHub

1.未授权访问的问题

remote_agent中对于远程IP取值来自于get_client_addr函数。追踪get_client_addr函数,可以发现位于functions.php内。

如果存在http_addr_headers数组内的代理IPheader,这个函数会从以上header内顺序取第一个合法的IP地址作为客户端IP。这样,攻击者就可以使用XFF进行客户端IP伪造

有一个鸡肋的点在于, 这里校验了通过client_addr取得hostname必须和cacti安装的本机或节点的hostname一致。如果伪造client_addr为127.0.0.1的情况下,默认的情况下client_name取出来的是localhost,会和本机名不一致,除非本机名字就是起的localhost。

如果在本机名字非localhost的情况下,client_addr需要暴力猜解本机的内网IP地址,或者其他设备列表内的IP地址。

2.远程命令执行的问题。

当设备action等于POLLER_ACTION_SCRIPT_PHP时,由于 poller_id参数未进行任何校验,可以直接进入proc_open函数进行命令执行。

 item['action']参数来源于:

$items = db_fetch_assoc_prepared('SELECT *
				FROM poller_item
				WHERE host_id = ?
				AND local_data_id = ?',
				array($host_id, $local_data_id));

所以攻击者可以通过local_data_ids参数来控制筛选出action==2的项目 ,使得函数可以进入POLLER_ACTION_SCRIPT_PHP块执行。当然,由于设备项目在添加时,需要选择相应的设备模板才会出现action=2的情况,local_data_ids参数也是需要靠暴力猜解才会猜解出action=2的项目。这也是鸡肋的一个点。

四、最终POC

 这里以执行curl命令为例。

 

五、修复方案

目前Cacti官方已发布安全补丁,但暂未发布版本更新,建议受影响用户关注官方更新或参考官方补丁代码进行修复:

https://github.com/Cacti/cacti/commit/7f0e16312dd5ce20f93744ef8b9c3b0f1ece2216

https://github.com/Cacti/cacti/commit/b43f13ae7f1e6bfe4e8e56a80a7cd867cf2db52b

注意:对于在 PHP < 7.0 下运行的 1.2.x 实例,还需要进一步更改:

https://github.com/Cacti/cacti/commit/a8d59e8fa5f0054aa9c6981b1cbe30ef0e2a0ec9

 

一苇sec
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cacti命令执行漏洞复现(CVE-2022-46169)
0xSec
02-02 3979
Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令漏洞编号:CVE-2022-46169漏洞等级:严重。
漏洞复现】CVE-2022-46169 Cacti命令执行
m0_53121608的博客
07-13 570
漏洞复现】CVE-2022-46169 Cacti命令执行
CactiEZ weathermap插件任意文件写入
m0_49025459的博客
01-17 1481
CactiEZ的登录界面,大多数都会存在weathermap的插件,这样我们就可以尝试该网站是否存在任意文件写入漏洞了。
CVE-2022-46169漏洞系统复现与分析
2301_79708753的博客
07-31 1082
本文系统全面的复现CVE-2022-46169漏洞,保姆级复现教程,其中涉及php代码审计,命令执行,身份绕过等等
Cacti 前台命令注入漏洞
SwBack的博客
05-08 1290
Cacti是一个服务器监控与管理平台。基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具. 在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令
cacti lib/rrd.php rrdtoll 1343,Cacti SQL注入漏洞(CNVD-2015-08486)
weixin_42651748的博客
04-01 258
### 0x01 漏洞简述CactiCacti集团的一套开源的网络流量监测和分析工具。该工具通过snmpget来获取数据,使用RRDtool绘画图形进行分析,并提供数据和用户管理功能。Cacti 0.8.8f以前版本存在SQL注入漏洞。允许远程攻击者通过graphphp属性行动中的rra_id参数执行任意SQL命令。### 0x02 漏洞细节漏洞存在于文件/cacti-0.8.8f/graph....
严重的Cacti漏洞可导致攻击者执行远程代码
smellycat000的专栏
05-14 176
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士广泛使用的网络监控工具 Cacti 最近发布重要安全更新,修复了一系列漏洞,其中最严重的是CVE-2024-25641,CVSS评分为9.1。严重的RCE漏洞CVE-2024-25641可导致拥有“导入模板”权限的认证用户在托管 Cacti 应用的服务器上执行任意PHP代码。该漏洞是因为对函数 import_package() 中所上传的 XML...
view.php 漏洞,Cacti graph_view.php SQL注入漏洞
weixin_33498296的博客
03-10 269
存在问题的文件/cacti/graph_view.php:/* ================= input validation ================= */input_validate_input_number(get_request_var_request('branch_id'));input_validate_input_number(get_request_var_req...
CVE-2020-8813:Cacti v1.2.8远程代码执行CVE-2020-8813的官方漏洞利用
03-08
**CVE-2020-8813:Cacti v1.2.8 远程代码执行漏洞详解** Cacti是一款广泛使用的开源网络监控工具,它提供了图形化的界面来显示网络设备的性能数据,如流量、CPU利用率、内存使用情况等。在2020年,Cacti被发现存在...
OSCS开源安全周报第 59 期:Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)
OSCS开源安全社区
09-11 532
OSCS 社区共收录安全漏洞个,公开漏洞值得关注的是远程代码执行漏洞( CVE-2023-37941 )、命令可绕过配置( CVE-2023-41053 )、集群密钥泄漏风险( CVE-2023-40029 )、注入漏洞( CVE-2023-39358 )。针对仓库,共监测到个不同版本的投毒组件,值得关注的是等投毒组件包窃取系统敏感信息(
Middleware-Vulnerability-detection:CVE、CMS、中间件漏洞检测利用合集 Since 2019-9-15
04-07
Middleware-Vulnerability-...--2020.7 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 --2020.10 CVE-2020-13957 Apache Solr 未授权上传 --2020.11 CVE-2020-13942 Apache Unomi 远程代码执行 Cacti --2020.2 CVE-202
中文cactiez基于snmp监控管理软件
12-16
#CactiEZ v10.1 install text cdrom mediacheck lang en_US.UTF-8 keyboard us rootpw CactiEZ firewall --service=ssh --service=snmp --service=http authconfig --enableshadow --passalgo=sha512 --enablefingerprint selinux --disabled timezone Asia/Shanghai network --bootproto=static --ip=192.168.0.32 --netmask=255.255.255.0 --gateway=192.168.0.1 --nameserver 8.8.8.8 --hostname=CactiEZ.local --noipv6 --onboot=yes bootloader --location=mbr zerombr yes clearpart --all --initlabel part /boot --fstype=ext4 --size=200 part pv.cZWdAb-3EW9-0foh-Bl0a-To6S-TJez-7moyho --grow --size=200 volgroup vg_cactiezv10 --pesize=4096 pv.cZWdAb-3EW9-0foh-Bl0a-To6S-TJez-7moyho logvol / --fstype=ext4 --name=LogVol00 --vgname=vg_cactiezv10 --grow --size=8192 logvol swap --name=LogVol01 --vgname=vg_cactiezv10 --size=1024 repo --name="CactiEZ" --baseurl=file:///mnt/source --cost=100 %packages --nobase --excludedocs @core @server-policy man file vim-enhanced openssh-clients lftp ftp wget curl elinks net-snmp-utils net-snmp httpd php mysql-server php-mysql php-gd expect ntp rsyslog-mysql pango system-config-network-tui %post --nochroot mkdir -p /mnt/sysimage/tmp/cactiez >> /tmp/ins.log 2>&1 cp /mnt/source/Packages/cactiez-i386.tgz /mnt/sysimage/tmp/cactiez >> /tmp/ins.log 2>&1 %post cd /tmp/cactiez >> /tmp/ins.log 2>&1 tar zxvf cactiez-i386.tgz >> /tmp/ins.log 2>&1 cp -rf /tmp/cactiez/var/www/html/* /var/www/html >> /tmp/ins.log 2>&1 cp -rf /tmp/cactiez/usr/* /usr >> /tmp/ins.log 2>&1 cp -rf /tmp/cactiez/etc/* /etc >> /tmp/ins.log 2>&1 service mysqld start >> /tmp/ins.log 2>&1 /usr/bin/mysqladmin --user=root create cacti >> /tmp/ins.log 2>&1 mysql -e "GRANT ALL ON cacti.* TO cactiuser@localhost IDENTIFIED BY 'cactiuser'" >> /tmp/ins.log 2>&1 mysql cacti > /tmp/ins.log 2>&1 chmod -R 777 /var/www/html/log/ chmod -R 7755 /var/www/html/rra/ chmod -R 755 /var/www/html/scripts/ chmod -R 755 /usr/local/spine/bin/ chmod -R 755 /usr/local/rrdtool/bin/ chown -R apache:apache /var/www/html/ echo '*/10 * * * * /usr/sbin/ntpdate 0.rhel.pool.ntp.org && /sbin/clock -w' > /tmp/crontab2.tmp echo '*/5 * * * * php /var/www/html/poller.php > /dev/null 2>&1' >> /tmp/crontab2.tmp crontab /tmp/crontab2.tmp rm /tmp/crontab2.tmp for service in httpd mysqld snmpd do chkconfig --level 235 $service on done #rm -rf /tmp/* %end
php 输出图像漏洞,Cacti 'lib/graph_export.php'任意命令执行漏洞CVE-2014-2328)
weixin_31282705的博客
03-10 207
发布日期:2014-04-03更新日期:2014-04-24受影响系统:Cacti Cacti 0.8.8bCacti Cacti 0.8.7f描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66387CVE(CAN) ID: CVE-2014-2328C...
cacti graphs new.php,cacti后台SQL注入漏洞 --解决
weixin_33315077的博客
03-27 586
cacti后台SQL注入漏洞简介cacti后台SQL注入漏洞cacti /graphs_new.php中对$_POST["cg_g"]参数过滤不严,导致SQL注入的发生,可能导致敏感数据泄漏。解决方法在第4步1. 漏洞描述other SQL injection vulnerability via graphs_new.php in cacti was found, reported to the ...
cacti cmd.php,Cacti cmd.php脚本远程SQL注入漏洞
weixin_39901213的博客
04-08 230
<?phpprint_r('--------------------------------------------------------------------------------Cacti <= 0.8.6i "cmd.php" popen() injectionby rgoddork: intitle:"login to cacti"mail: retrog at alic...
Cacti SQL注入漏洞分析CVE-2023-51448)
最新发布
shelter1234567的博客
08-19 454
Cacti 为全球用户提供强大且可扩展的运营监控和故障管理框架。它还是一个完整的网络绘图解决方案,旨在利用的数据存储和绘图功能。Cacti 包括一个完全分布式和容错的数据收集框架、用于设备、图表和树的高级基于模板的自动化功能、多种数据采集方法、通过插件进行扩展的能力、基于角色的用户、组和域管理功能,此外还有一个主题引擎和多种语言支持,所有这些都是开箱即用的。Cacti pollers.php文件接口在SQL注入漏洞
@valid 验证list_CVE20208813:Cacti v1.2.8 中经过身份验证的RCE漏洞分析
weixin_35986494的博客
12-01 414
关于CactiCacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。Cacti通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。它提供了非常强大的数据和用户管理功能,可以指定每一个用户能查看树状结构、host以及任何一张图,还可以与LDAP结合进行用户验证,同时也能自己增加模板,功能非...
Cacti多个输入验证漏洞
weixin_33904756的博客
07-25 163
Cacti多个输入验证漏洞发布日期:2008-02-12更新日期:2008-07-16受影响系统:Raxnet Cacti 0.8.7a不受影响系统:Raxnet Cacti 0.8.7b描述:BUGTRAQ ID: 27749CVE(CAN) ID: CVE-2008-0786,CVE-2008-0785,CVE-2008-0784,CVE-2008-0783C...
cacti lib/rrd.php rrdtoll 1343,CVE-2020-8813:Cactiv1.2.8身份验证远程代码执行漏洞分析 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联...
weixin_39526651的博客
04-01 237
0x01 Cacti 介绍Cacti是一个网络图形解决方案,利用RRDTool的数据存储和图形功能,Cacti提供了现成的高级图形模板,多种数据采集方法和用户管理功能。所有这些都封装在一个直观,易于使用的界面中。0x02 漏洞分析通过分析Cacti代码中的多个函数的代码发现了此漏洞,必须将多个因素联系在一起才能执行代码,该漏洞主要发生在攻击者尝试将恶意代码注入“ Cacti” cookie变量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值