CVE-2020-15778漏洞复现

Posted 2023-03-14

参考技术A OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。
OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

使用scp复制文件到远程服务器时，在scp命令后面跟上文件的路径，具体格式如下：

在上述过程中，scp会使用”-t“参数来获取存储传入文件的路径，如下：

问题就出在这个地方，也就是"scp.c"文件的991行，如图。这个地方未对传入的文件路径进行检测防护。攻击者可以使用反引号包裹payload然后加上文件名执行scp命令，这时，payload将会发送到远程服务器并执行。

描述：要实现该漏洞必须知道ssh用户密码，但是一般来说ssh是阻止连接的。这个时候我们就可以利用这个漏洞进行连接。
攻击机：Kali-Linux-2020.3
受害机：CentOS-6.8

1、在攻击机创建一个拷贝用的测试文件（为空即可）

2、测试在攻击机上scp到受害机

3、查看受害机

注：上述是，测试scp命令是否可以正常使用
4、开始命令注入攻击

5、查看受害机

注：通过 `` 符号内实现任意远程命令执行

5、攻击机监听端口

6、反弹shell命令注入攻击

番外：

言归正传：

7、查看新建的攻击机窗口

目前厂商暂未发布修复措施解决此安全问题，等待官方补丁 https://www.openssh.com/
加强ssh密码或密钥的保护，周期性更换密码或密钥
使用rsync代替scp