命令注入漏洞
接口:POST localhost:5000/snmp
请求参数:
{"host":"test","asset_type":"pc","version":"1`touch /tmp/test.txt`","community":"public"}
注入成功分析
从接口名称,以及接口请求方法可以看出,这是一个对snmp管理对接口,那么何为snmp呢?
简单网络管理协议(SNMP)是一个与网络设备交互的简单方法,一个网络 设备以守护进程的方式运行SNMP代理,该守护进程能够响应来自网络的各种请求信息。
该SNMP代理提供大量的对象标识符(OID-Object Identifiers)。一个OID是一个唯一的键值对。该代理存放这些值并让它们可用。
一个SNMP管理器(客户)可以向代理查询键值对中的特定信息。由于OID都非常长,使得人们难以记住,或者对他非常感冒。
因此,人们就设计了一种将数字OID翻译为人们可读的格式。这种翻译映射被保存在一个被称为 "管理信息基础"(Management Infomation Base) 或MIB的、可传递的无格式文本文件里。
使用SNMP或者向SNMP设备查询,你不需要使用MIB,但是,如果没有MIB,你就得猜测你正在查看的数据是什么。
某些情况下,不使用MIB也非常简单,例如查看主机名、磁盘使用率数字,或者端口状态信息。
SNMP v3 在前面的版本上增加了安全能力和远程配置能力,SNMPv3结构为消息安全和VACM(View-based Access Control Model)引入了USM(User-based Security Model)。这个结构支持同时使用不同的安全机制,接入控制,消息处理模型。SNMP v3 也引入使用SNMP SET命令动态配置 SNMP agent而不失MIB对象代表agent配置。
这些动态配置支持能够增加,删除,修改和配置远程或本地实体。
SNMP V3有三个可能的安全级别: noAuthNoPriv, authNoPriv, 和 authPriv.
noAuthNoPriv 级别指明了没有认证或私密性被执行.
authNoPriv 级别指明了认证被执行但没有私密性被执行.
authPriv 级别指明了认证和私密性都被执行.
auth---认证 支持MD5 or SHA;
priv---加密 支持DES or RSA;
接口能被攻击者注入成功的原因是,开发者需要根据参数构造相应的snmp控制台执行命令。在参数验证不够严谨的情况下,会将攻击者构造的参数带入到命令中执行。
从请求body中可以看出,攻击者注入了一条创建文件的命令touch /tmp/test.txt,因为开发者安全能力不足,或者没有考虑到该情况,导致命令被执行
接口请求后,可以在服务器中查看该文件是否被创建,从而验证是否被成功注入
root@1596979f06df:/tmp# ls
tmpm89hn269
root@1596979f06df:/tmp# ls
test.txt tmpm89hn269
可以看到,成功生成了文件。那如果攻击者将该命令改为执行脚本,那危害就会几何放大。
那,我们该如何修复此类漏洞呢?
命令注入修复
1、该接口,我明确知道版本号是1、2、3,因此,我可以判断版本号是否在这些值内,如果不在范围内,就return返回,中断程序的执行,有效防止命令注入。
2、也可以做类型判断,将版本号强势转成int类型,然后判断版本号是否在该版本列表内,如果不是,也中断程序执行。
我在代码中采用的是将该值做类型转换,可以过滤掉其他不必要的字符。
比如参数 version 的值是 "2`touch /tmp/test.txt`",进行类型转换( intval($version) )后,该值就被转换成了数字 2,将注入字符串给过滤掉了,修复了该注入漏洞。
扩展
命令注入漏洞,大多都是在字符串中夹杂了可执行的命令脚本。而我们通过程序,在终端执行命令的时候,又会隐秘的执行注入命令,因此过滤这些特殊字符,可以很有效的防范此类注入。
而这些特殊字符中,又以反引号(`)为最。从我们的安全测试报告中可以总结出,大部分的注入脚本都是被反引号包裹者的,因此过滤这类字符就可以防止大部分的脚本注入攻击。
网友评论