CVE-2020-16846 CVE-2020-25592 分析

作者：jambolt  编辑：白帽子社区运营团队

    "白帽子社区在线CTF靶场BMZCTF，欢迎各位在这里练习、学习，BMZCTF全身心为网络安全赛手提供优质学习环境，链接（http://www.bmzclub.cn/）

"    

传参示例    Provide a uniform method of accessing the various client interfaces in Salt    in the form of low-data data structures. For example:
    >>> client = NetapiClient(__opts__)    >>> lowstate = {'client': 'local', 'tgt': '*', 'fun': 'test.ping', 'arg': ''}    >>> client.run(lowstate)

逻辑判定1 client

类中的非run和_开头函数，可调用列表

传递的参数low[client]必须为下列中的一个
local_asynclocallocal_subsetlocal_batchsshrunnerrunner_asyncwheelwheel_async

逻辑判定2 token

参数列表中必须有token(POC测试中发现必须为数字型)

 逻辑判定3 raw_shell,netapi_allow_raw_shell

如果获取参数 raw_shell 必须要有 netapi_allow_raw_shell 参数

lowstate = {'raw_shell': '*', 'netapi_allow_raw_shell': '*'， ....}

之后根据client 参数进行 函数调用,此处client为ssh

salt/netapi/init.py run() -> salt/netapi/init.py ssh()

根据salt/netapi/init.py 初始化获得的参数 初始化 salt.client.ssh.client.SSHClient 类

salt/netapi/init.py ssh() -> salt/client/ssh/client.py cmd_sync()

传递获取的low字典中的参数

salt/client/ssh/client.py cmd_sync() -> salt/client/ssh/client.py cmd()

必须有的参数是 tgt fun才能完成 _prep_ssh调用

salt/client/ssh/client.py cmd() -> salt/client/ssh/client.py _prep_ssh()

参数处理后传递初始化 salt.client.ssh.SSH类

salt/client/ssh/init.py SSH类 初始化

逻辑上需要tgt参数 才不调用 self._update_targets() 对于 roster参数有无并无要求 

ssh_priv 参数获取后且无此文件 则 try salt.client.ssh.shell.gen_key()

salt/client/ssh/shell.py gen_key() 命令执行点

命令注入点 通过ssh_priv 完成命令注入ssh-keygen -P "" -f {ssh_priv} -t rsa -q

POC变种

内联执行 `touch /tmp/success`