OpenSSH 用户名枚举漏洞(CVE-2018-15473)

Posted yyxianren

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenSSH 用户名枚举漏洞(CVE-2018-15473)相关的知识,希望对你有一定的参考价值。

OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。

参考链接:

http://openwall.com/lists/oss-security/2018/08/15/5
https://github.com/Rhynorater/CVE-2018-15473-Exploit
https://www.anquanke.com/post/id/157607

漏洞复现

使用CVE-2018-15473-Exploit,枚举字典中的用户名:

python3 sshUsernameEnumExploit.py --port 20022 --userList exampleInput.txt your-ip

技术图片

 

 可见,root、example、vulhub、nobody是存在的用户,rootInvalid、user、phithon是不存在的用户。

 

以上是关于OpenSSH 用户名枚举漏洞(CVE-2018-15473)的主要内容,如果未能解决你的问题,请参考以下文章

编译安装openssh7.8p1

Widows下压缩软件WinRAR 代码执行漏洞(CVE-2018-2025*)

openssh漏洞怎么修复

openssh漏洞?

openssh漏洞怎么修复 windows

Open-SSH低版本用户名可枚举漏洞