Cacti命令执行漏洞分析(CVE-2022-46169)

目录

漏洞描述

环境搭建

漏洞复现

总结


漏洞描述

漏洞名:Cacti 前台命令注入漏洞

漏洞编号:CVE-2022-46169

Cacti是一个服务器监控与管理平台。基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。

影响版本:1.2.17-1.2.22

漏洞原理 由于remote_agent.php文件存在验证缺陷,未经身份验证的攻击者通过设置HTTP_开头变量的值为 Cacti的服务器主机名来实现身份验证绕过,之后控制get_nfilter_request_var()函数中的检索参数$poller_id,当poller_item设置为POLLER_ACTION_SCRIPT_PHP时,导致proc_open()函数被触发,最终实现在目标系统上任意命令执行。

复制代码
#漏洞payload
remote_agent.php?action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success`
X-Forwarded-For:127.0.0.1

环境搭建

https://github.com/vulhub/vulhub/tree/master/cacti/CVE-2022-46169

使用docker-compose up -d搭建即可

访问8080端口,默认密码admin/admin对Cacti进行一系列的安装操作 这个漏洞的利用需要Cacti应用中至少存在一个类似是POLLER_ACTION_SCRIPT_PHP的采集器。所以,我们在Cacti后台首页创建一个新的Grap 安装完成后选择创建图形

然后点击创建即可。

漏洞复现

查看存在漏洞版本的源码

可以看见调用了remote_client_authorized函数进行了一个检测 其中又调用了get_client_addr函数

查看其逻辑

这里实际上就是使用$_SERVER来匹配这些http headers头,如果存在该headers头,就用explode去对数据进行分隔处理,不为空则进入if判断,又检测其是否为IP,进行了一个取反,所以进入了else,对client_addr进行了赋值,使用了break 2跳出了二层循环,返回了值

获取了client_addr后,还会进行一系列处理,判断是否为空,再次检测是不是ip,然后使用gethostbyaddr函数获取到localhost,

调用数据库查询,数据库中默认的hostname就是localhost,所以最终返回true,成功绕过了鉴权

绕过了鉴权,后续会提取参数进入一个switch,这里控制action为polldata,进入poll_for_data

获取local_data_ids,host_id,poller_id

接着就会在数据库中进行查询,将数据处理后switch判断action的值

当action的值为POLLER_ACTION_SCRIPT_PHP时,便可进入执行命令的逻辑

这条数据其实就是刚刚搭建环境时新增的Grap,在真实的渗透场景中,这两个值就需要去爆破

最终就会将数据拼接近proc_open中,这里我们可以用linux执行命令的特性,linux会率先执行中的命令

总结

至此,RCE漏洞CVE-2022-46169的复现就做完了,而且还在原来解题的基础上把回显也做出来了

相关推荐
Chengbei114 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
其实防守也摸鱼15 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
云水一下21 小时前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
菩提小狗1 天前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全
糖果店的幽灵1 天前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
数据知道1 天前
DNS 安全攻防:缓存投毒、DNS 隧道与检测实战
安全·网络安全·缓存·缓存投毒
其实防守也摸鱼2 天前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
云水一下2 天前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
学逆向的2 天前
汇编——数据存储模式
开发语言·汇编·网络安全
阿米亚波2 天前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发