SaltStack Shell 注入 (CVE-2020-16846)

Salt 是一种建立在动态通信总线上的基础设施管理新方法。Salt 可用于数据驱动的编排、任何基础设施的远程执行、任何应用程序堆栈的配置管理等等。

2020 年 11 月，SaltStack 正式披露了两个漏洞，CVE-2020-16846 和 CVE-2020-25592。CVE-2020-25592 允许任意用户使用 SSH 模块，CVE-2020-16846 允许用户执行任意命令。Chain 这两个漏洞将允许未经授权的攻击者通过 Salt API 执行任意命令。

参考：

• https://mp.weixin.qq.com/s/R8qw_lWizGyeJS0jOcYXag
• https://docs.saltstack.com/en/latest/ref/netapi/all/salt.netapi.rest_cherrypy.html

SaltStack 水平权限绕过漏洞（CVE-2020-11651）

SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。

在 CVE-2020-11651 认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过 Salt Master 的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。

参考链接：

• https://labs.f-secure.com/advisories/saltstack-authorization-bypass
• https://github.com/rossengeorgiev/salt-security-backports
• https://github.com/saltstack/salt/blob/a67d76b15615983d467ed81371b38b4a17e4f3b7/tests/integration/master/test_clear_funcs.py

PostgreSQL 高权限命令执行漏洞（CVE-2019-9193）

PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。

参考链接：

• https://medium.com/greenwolf-security/authenticated-arbitrary-command-execution-on-postgresql-9-3-latest-cd18945914d5

PostgreSQL 提权漏洞（CVE-2018-1058）

PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误，导致超级用户在不知情的情况下触发普通用户创建的恶意代码，导致执行一些不可预期的操作。

参考链接：

• https://wiki.postgresql.org/wiki/A_Guide_to_CVE-2018-1058:_Protect_Your_Search_Path
• https://xianzhi.aliyun.com/forum/topic/2109

phpmyadmin Scripts/setup.php 反序列化漏洞 (WooYun-2016-199433)

受影响的版本：2.x

phpMyAdmin 4.0.x—4.6.2 远程代码执行漏洞 (CVE-2016-5734)

phpMyAdmin 是一个用 PHP 编写的免费软件工具，旨在通过 Web 处理 MySQL 的管理。漏洞在preg_replace函数中，因为用户提交的信息可以拼接到第一个参数中。

在 PHP 5.4.7 之前，preg_replace可以将的第一个参数截断，\0并将搜索模式更改为\e。它可能导致远程代码执行漏洞。

受影响的版本：

• 4.0.10.16 之前的 4.0.x 版本
• 4.4.15.7 之前的 4.4.x 版本
• 4.6.3之前的4.6.x版本（其实因为这个版本需要PHP5.5+，这个漏洞无法复现）

phpmyadmin 4.8.1 远程文件包含漏洞 (CVE-2018-12613)

PhpMyAdmin 是一个用 PHP 编写的免费软件工具，旨在通过 Web 处理 MySQL 的管理。该漏洞位于index.php，导致文件包含漏洞。

参考链接：

• https://mp.weixin.qq.com/s/HZcS2HdUtqz10jUEN57aog
• https://www.phpmyadmin.net/security/PMASA-2018-4/

XDebug 远程调试漏洞（代码执行）

XDebug是PHP的一个扩展，用于调试PHP代码。如果目标开启了远程调试模式，并设置remote_connect_back = 1：

1
2

xdebug.remote_connect_back = 1
xdebug.remote_enable = 1

这个配置下，我们访问http://target/index.php?XDEBUG_SESSION_START=phpstorm，目标服务器的XDebug将会连接访问者的IP（或X-Forwarded-For头指定的地址）并通过dbgp协议与其通信，我们通过dbgp中提供的eval方法即可在目标服务器上执行任意PHP代码。

更多说明可参考：

• [https://ricterz.me/posts/Xdebug%3A%20A%20Tiny%20Attack%20Surface](https://ricterz.me/posts/Xdebug%3A A Tiny Attack Surface)
• https://xdebug.org

PHP环境 XML外部实体注入漏洞（XXE）

环境介绍：

• PHP 7.0.30
• libxml 2.8.0

libxml2.9.0以后，默认不解析外部实体，导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞，本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。

PHP 本地文件包含 RCE 与 PHPINFO

在PHP文件包含漏洞中，当我们找不到一个有效的文件来包含触发RCE时，如果存在PHPINFO可以告诉我们临时文件的随机生成的文件名及其位置，我们可能能够包含一个临时文件来利用它.

参考：

• https://dl.packetstormsecurity.net/papers/general/LFI_With_PHPInfo_Assitance.pdf