0x00 前言
本次漏洞復現(xiàn)使用
靶機:vulfocuse
0x01 描述
SaltStack 是基于python開發(fā)的一套C/S自動化運維工具
在CVE-2020-11651認證繞過漏洞中娃殖,攻擊者通過構造惡意請求俏竞,可以繞過Salt Master的驗證邏輯,調(diào)用相關未授權函數(shù)功能削咆,從而可以造成遠程命令執(zhí)行漏洞
影響版本
SaltStack < 2019.2.4
SaltStack < 3000.2
默認端口:
4505 publish_port 提供遠程執(zhí)行命令發(fā)送功能
4506 ret_port 支持認證、文件服務造虏、結(jié)果收集等功能
8000 salt-api
復現(xiàn)準備
啟動環(huán)境
image
0x02 漏洞復現(xiàn)
EXP地址:https://github.com/heikanet/CVE-2020-11651-CVE-2020-11652-EXP.git
同時袁勺,需要安裝下 salt
pip install salt
Tips:
Kali里面pip默認安裝 3000.2 版本的
可以手動安裝 3000.1 版本(https://pypi.org/simple/salt/ )
tar -xvzf 進行解壓
python3 setup.py install 安裝
執(zhí)行EXP
這里需要把py腳本里的 port 自行修改為靶機 4506 映射的端口,執(zhí)行后可以看到回顯存在漏洞
image
嘗試讀取文件
image
開始嘗試的時候一直彈不出來澎粟,還以為不出網(wǎng)
image
經(jīng)過測試和翻看文章蛀序,發(fā)現(xiàn)一個坑點
網(wǎng)上的EXP默認是調(diào)用的python進行執(zhí)行的,而docker里默認沒有python環(huán)境變量活烙,就無法執(zhí)行命令徐裸。此處需要自己修改下EXP,調(diào)用bash來執(zhí)行
image
"lang": "bash"
"code": "{}".format(exec_cmd)
修改后再嘗試執(zhí)行命令啸盏,就能順利反彈出來了
image
flag在 tmp 目錄下
image
