CVE-2016-3115漏洞研究

OpenSSH <=7.2p1 xauth命令注入漏洞(CVE-2016-3115)研究

工作中扫描发现OpenSSH <=7.2p1 xauth命令注入漏洞(CVE-2016-3115)，对于该漏洞，我们做出如下验证与研究：

1. 漏洞信息

OpenSSH <=7.2p1在实现上存在xauth命令注入漏洞，可导致绕过forced-command及/bin/false。

2.漏洞研究与验证：
AIX和Linux在创建用户时，useradd命令可以指定/bin/false选项，意思是禁止该用户以任何形式登陆系统，当选择该选项时，用户尝试ssh远程服务器将会禁止登陆。forced-command配置可以使ssh client端登陆服务器时运行指定的命令。该漏洞可以绕过这两个限制，OpenSSH低于7.2p1版本的都受此漏洞影响。
测试环境：

首先创建一个用户ln，并且指定/bin/false:

Useradd  -m -s /bin/false ln  

然后为用户ln设置密码：

Passwd ln  

OK，查看一下/etc/passwd 看用户是否创建成功：

cat /etc/passwd  

用户ln创建成功，并且设置为/bin/false，此时如果用户ln ssh登录服务器时，将不被允许：

因为配置了/bin/false，所以ln任何形式的登陆都不被允许，登录框变灰，但利用该漏洞可以成功绕过该限制，详细poc参见附件（需要python环境），我们在client端运行该poc：

Python poc.py xx.188.197.38 22 ln Aa-11111  

成功绕过/bin/false登陆限制，如果OpenSSH开启ForwardX11选项，我们可以进一步注入xauth命令，执行.readfile，查看/etc/passwd文件：

命令执行成功，成功读取/etc/passwd文件内容。

3.总结：

该漏洞可以绕过登陆限制，执行命令，并且已有成熟的poc，利用较为容易，具有一定的风险，建议升级至OpenSSH最新版本7.2p1。

发布日期

标签

• CVE-2016-3115 1