CVE-2018-19518漏洞复现
CVE-2018-19518漏洞复现
本⽂仅限技术研究与讨论,严禁⽤于⾮法⽤途,否则产⽣的⼀切后果⾃⾏承担
CVE-2018-19518漏洞介绍
php imap扩展⽤户在php中执⾏邮件收发操作,其imap_open函数会调⽤rsh来连接远程shell,⽽debianh/Ubuntu中默认使⽤ssh来代替rsh功能,也就是说debian系列系统中,执⾏rsh命令实际执⾏的是ssh命令
debian系列系统有Ubuntu、kali、MX linux、AntiX、PureOS等
ssh命令中可以通过设置-oProxyCommand=来调⽤第三⽅命令,攻击者可以通过注⼊这个参数,最终将导致命令执⾏漏洞
ProxyCommand⽤来指定连接到服务器的命令. 其可以是任何的命令,只要能从其标准输⼊读⼊数据,然后写出到标准输出即可. 这条命令需要连接到sshd服务器上
漏洞复现
编译及运⾏环境,注意最好在root⾝份下执⾏
cd vulhub/php/CVE-2018-19518/
docker-compose up -d
验证漏洞
⾸先通过kali的浏览器进⾏web页⾯访问
随便填写⼀个邮箱,⽤户名和密码,开启burpsuit⼯具进⾏抓包
点击Submit提交
成功获取数据包,将数据包扔⼊repeater⾥⾯,修改数据包,添加执⾏代码如echo ‘123456789’>/tmp/test1234,对这个命令进⾏base64编码ZWNobyAnMTIzNDU2Nzg5Jz4vdG1wL3Rlc3QxMjM0
其他的是以url编码的形式
发包后,⽤docker-compose exec web bash命令进⼊虚拟机,在/tmp⽬录下查看是否⽬录创建成功
成功执⾏命令
移除漏洞环境
注意:在执⾏完docker-compose up -d后,不要离开当前⽬录,漏洞测试结束后,执⾏如下命令移除环境docker-compose down
cve漏洞库# 关闭正在运⾏的容器,删除所有相关的容器,移除NAT(docker-compose在运⾏的时候会创建⼀个NAT⽹段)