0x00 实验环境
攻击机:Win 10
0x01 影响版本
OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机
0x02 漏洞复现
针对搭建好的vulhub环境:
这里最主要的是python3的模块——paramiko 的调用,需要安装好该模块才能使用poc
直接执行以下命令即可
上图可以发现root与vulhub是存在的用户,可进行爆破。
针对特定版本的payload可用,若需要我测试可使用的payload请私聊我
0x03 漏洞原理
87 static int 88 userauth_pubkey(struct ssh *ssh) 89 { ... 101 if (!authctxt->valid) { 102 debug2("%s: disabled because of invalid user", __func__); 103 return 0; 104 } 105 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 || 106 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 || 107 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0) 108 fatal("%s: parse request failed: %s", __func__, ssh_err(r));
当用户不可用时,userauth_pubkey会直接返回错误信息,如果用户可用,则会进入下一个条件判断,调用fatal函数。所以在username可用于不可用两种情况下,可以看出来这个函数的返回是不同的