cacti的RCE

原创 已于 2025-07-29 09:24:21 修改 · 1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试 #web安全

于 2025-07-28 23:03:33 首次发布

目录

1 环境搭建

1.1 linux:

1.1.1 在ubuntu上拉取环境(docker)

1.1.2 docker环境部署

1.1.3 查看镜像端口:

1.1.4 访问

1.1.5 查看数据库配置:

1.2 windows搭建:

 1.2.1 config.php.dist

2 环境设置

2.1 登录仙人掌

 2.2 设置

3 vscode进入容器的方法

4 RCE绕过与分析

4.1 绕过鉴权函数

4.1.1 函数分析

4.1.1.1 get_client_addr

4.1.1.2 break 2:

4.1.1.3 remote_client_authorized()

4.1.1.4 remote_agent_strip_domain

4.2 用户可控参数--get

4.2.1 初步分析

4.2.2 分析函数的if

4.2.3 ACTION为什么为2?

4.3 绕过prepare_validate_result函数

函数代码:

5 漏洞复现演示

5.1进入数据库

5.2 payload抓包测试

5.3 上传payload

5.4 测试验证

6 代码回顾总结

6.1 remote_client_authorized()绕过

6.2 action  get传参

6.3   当action=2

7 AI总结图(助于思考回顾)

1 环境搭建

1.1 linux:

1.1.1 在ubuntu上拉取环境(docker)

root@yang:~/vulhub/cacti/CVE-2022-46169# wget  https://github.com/Cacti/cacti/archive/refs/tags/release/1.2.22.zip^C

1.1.2 docker环境部署

使用此命令构建docker环境镜像


root@yang:~/vulhub/cacti/CVE-2022-46169# docker compose up -d
WARN[0000] /root/vulhub/cacti/CVE-2022-46169/docker-compose.yml: the attribute `version` is obsol                                                                                        ete, it will be ignored, please remove it to avoid potential confusion
[+] Running 2/2
 ✔ Container cve-2022-46169-db-1   Started                                                  0.5s
 ✔ Container cve-2022-46169-web-1  Started

1.1.3 查看镜像端口:

root@yang:~/vulhub/cacti/CVE-2022-46169# docker images
REPOSITORY     TAG       IMAGE ID       CREATED         SIZE
nginx          latest    9592f5595f2b   4 weeks ago     192MB
mysql          5.7       5107333e08a8   19 months ago   501MB
vulhub/cacti   1.2.22    c0a06715ff54   2 years ago     642MB
root@yang:~/vulhub/cacti/CVE-2022-46169# docker ps -a
CONTAINER ID   IMAGE                 COMMAND                   CREATED       STATUS         PORTS                                     NAMES
9b7a360a3476   vulhub/cacti:1.2.22   "bash /entrypoint.sh…"   2 weeks ago   Up 2 minutes   0.0.0.0:8080->80/tcp, [::]:8080->80/tcp   cve-2022-46169-web-1
35343a3e052e   mysql:5.7             "docker-entrypoint.s…"   2 weeks ago   Up 2 minutes   3306/tcp, 33060/tcp                       cve-2022-46169-db-1

1.1.4 访问

1.1.5 查看数据库配置:

1.2 windows搭建:

下载安装包后直接部署在小皮的WWW的目录下面,发现报错

 1.2.1 config.php.dist

这是一个备份文件,可以修改为php文件,作为mysql

修改配置文件 

无法成功!稍后再试,尝试了很多方法都不行

2 环境设置

2.1 登录仙人掌

账号:admin

密码:admin

进入后就直接一直next

 2.2 设置

3 vscode进入容器的方法

因为自己最开始不知道,所以写了

然后在这里面可以选择想进入的容器:

4 RCE绕过与分析

4.1 绕过鉴权函数

4.1.1 函数分析

function remote_client_authorized() {
	global $poller_db_cnn_id;

	/* don't allow to run from the command line */
	$client_addr = get_client_addr();
	if ($client_addr === false) {
		return false;
	}

	if (!filter_var($client_addr, FILTER_VALIDATE_IP)) {
		cacti_log('ERROR: Invalid remote agent client IP Address.  Exiting');
		return false;
	}

	$client_name = gethostbyaddr($client_addr);

	if ($client_name == $client_addr) {
		cacti_log('NOTE: Unable to resolve hostname from address ' . $client_addr, false, 'WEBUI', POLLER_VERBOSITY_MEDIUM);
	} else {
		$client_name = remote_agent_strip_domain($client_name);
	}

	$pollers = db_fetch_assoc('SELECT * FROM poller', true, $poller_db_cnn_id);

	if (cacti_sizeof($pollers)) {
		foreach($pollers as $poller) {
			if (remote_agent_strip_domain($poller['hostname']) == $client_name) {
				return true;
			} elseif ($poller['hostname'] == $client_addr) {
				return true;
			}
		}
	}

	cacti_log("Unauthorized remote agent access attempt from $client_name ($client_addr)");

	return false;
}
4.1.1.1 get_client_addr

走到这个函数里面来,再接着走到了get_client_addr 这一看就知道应该是获取客户端的地址的函数,那我们来分析一下他的函数源码

function get_client_addr($client_addr = false) {
	$http_addr_headers = array(
		'X-Forwarded-For',
		'X-Client-IP',
		'X-Real-IP',
		'X-ProxyUser-Ip',
		'CF-Connecting-IP',
		'True-Client-IP',
		'HTTP_X_FORWARDED',
		'HTTP_X_FORWARDED_FOR',
		'HTTP_X_CLUSTER_CLIENT_IP',
		'HTTP_FORWARDED_FOR',
		'HTTP_FORWARDED',
		'HTTP_CLIENT_IP',
		'REMOTE_ADDR',
	);
//循环获取他的http的请求头
	$client_addr = false;
	foreach ($http_addr_headers as $header) {
		if (!empty($_SERVER[$header])) {
			$header_ips = explode(',', $_SERVER[$header]);
			foreach ($header_ips as $header_ip) {
				if (!empty($header_ip)) {
					if (!filter_var($header_ip, FILTER_VALIDATE_IP)) {
						cacti_log('ERROR: Invalid remote client IP Address found in header (' . $header . ').', false, 'AUTH', POLLER_VERBOSITY_DEBUG);
					} else {
						$client_addr = $header_ip;
						cacti_log('DEBUG: Using remote client IP Address found in header (' . $header . '): ' . $client_addr . ' (' . $_SERVER[$header] . ')', false, 'AUTH', POLLER_VERBOSITY_DEBUG);
						break 2;
					}
				}
			}
		}
	}

	return $client_addr;
}

最开始这个数组就是为了循环获取他的请求头的数据

$_server:就是为了获取到X-Forwarded-For,这样就可以判断能不能获取到这个X-Forwarded-For参数,就可以判断出请求头是否伪空
 

<?php

echo'<pre>';

var_dump($_SERVER);

可以打印出全局的数组,其中它就有请求头的数据

 打印出来的数据如上:和f12里面的http-request-header里面的内容是一样的

所以说我们可以通过获取X-Forwarded-For,可以进行伪造

$header_ips = explode(',', $_SERVER[$header]);

            foreach ($header_ips as $header_ip) {

                if (!empty($header_ip)) {

                    if (!filter_var($header_ip, FILTER_VALIDATE_IP))

这里是通过全局数组获取到了header头里面的ip字段的信息,获取到后,判断是否为空,如果不是空,就用filter_var来进行过滤

FILTER_VALIDATE_IP:这是一个过滤器,用来验证IP是否合法

4.1.1.2 break 2:

跳出两层循环

break 2是 PHP 中的控制语句,用于终止多层嵌套循环的执行。在这段代码中,它的作用是:

 
  1. 内层循环:遍历由逗号分隔的 IP 列表(例如,当
最低0.47元/天 解锁文章
cacti漏洞CVE-2022-46169复现
weixin_59713645的博客
07-25 772
cactiRCE漏洞CVE-2022-46169的复现。通过审计代码完整复现漏洞,还进一步把回显也实现了
复现cactiRCE(CVE-2022-46169)
hlx250217的博客
07-25 213
摘要:Cacti 1.2.17-1.2.22版本存在命令注入漏洞(CVE-2022-46169),攻击者可通过X-Forwarded-For请求头绕过校验执行任意命令。复现需先创建Graph采集器,然后发送恶意请求包,利用反引号注入命令(如创建/tmp/success文件)。该漏洞无需回显即可实现远程命令执行。
@valid 验证list_CVE20208813:Cacti v1.2.8 中经过身份验证的RCE漏洞分析
weixin_35986494的博客
12-01 480
关于CactiCacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。Cacti通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。它提供了非常强大的数据和用户管理功能,可以指定每一个用户能查看树状结构、host以及任何一张图,还可以与LDAP结合进行用户验证,同时也能自己增加模板,功能非...
Weblogic RCE + confluence RCE + cacti RCE正反向代理靶场
Love&Share
04-07 2933
与实际区别。
cacti lib/rrd.php rrdtoll 1343,CVE-2020-8813:Cactiv1.2.8身份验证远程代码执行漏洞分析 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联...
weixin_39526651的博客
04-01 311
0x01 Cacti 介绍Cacti是一个网络图形解决方案,利用RRDTool的数据存储和图形功能,Cacti提供了现成的高级图形模板,多种数据采集方法和用户管理功能。所有这些都封装在一个直观,易于使用的界面中。0x02 漏洞分析通过分析Cacti代码中的多个函数的代码发现了此漏洞,必须将多个因素联系在一起才能执行代码,该漏洞主要发生在攻击者尝试将恶意代码注入“ Cacti” cookie变量...
Cacti 未经身份验证的命令注入 CVE-2022-46169复现
aihua002的博客
12-12 505
再利用此漏洞之前,添加新的“graphs”,因为此漏洞需要POLLER_ACTION_SCRIPT_PHP的采集器。选择的Graph Type是“Device - Uptime”,点击创建。默认账户密码admin/admin。
复现cactiRCE
2301_78185240的博客
07-29 226
本文介绍了Cacti CVE-2022-46169漏洞复现过程。首先通过Docker搭建漏洞环境,初始化Cacti应用并创建数据采集器。该漏洞利用远程代理接口存在命令注入风险,通过在poller_id参数中注入命令(如touch /tmp/success)可执行任意指令。验证阶段展示了文件创建、命令执行和webshell写入三种利用方式,包括获取系统信息(id命令)、写入PHP webshell并通过参数执行whoami命令确认权限。整个过程演示了从环境搭建到漏洞利用的完整链,证实了该漏洞可导致远程代码执行
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
一种不错的使用cacti的方法-dockered cacti
anzhuangguai的专栏
08-06 3552
ubuntu17.04提供了安装后的cacti 0.8.8h,但同时提供的php7与cacti喜欢的php5.7有冲突。需要修改cacti源码(cmd.php FIXME)才能保证cacti部分工作。 现在将我使用的一种不错的cacti方法说出来。 使用docker安装cacti最新版本cacti1.1.12 方法如下,在ubuntu16.04下, 1(optional) 克隆 https
Cacti监控讲解
Liang_GaRy的博客
03-08 1396
Cacti监控讲解
Cacti命令执行漏洞复现(CVE-2022-46169)
0xSec
02-02 4727
Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。漏洞编号:CVE-2022-46169,漏洞等级:严重。
cacti容器化部署docker-compose/docker
m0_59586152的博客
06-21 1793
web端口操作
cacti后台SQL注入漏洞 --解决
weixin_33755649的博客
03-11 1156
cacti后台SQL注入漏洞 简介 cacti后台SQL注入漏洞 cacti /graphs_new.php中对$_POST["cg_g"]参数过滤不严,导致SQL注入的发生,可能导致敏感数据泄漏。 解决方法在第4步 1. 漏洞描述 other SQL injection vulnerability via graphs_new.php in cact...
利用Docker集成多人合作二次开发cacti的开发环境部署文档
a948099144的博客
05-05 3913
1文档目的 2部署结构拓扑 3下载svn代码 4docker安装 5Docker的使用 1 docker的简单介绍 2 项目中使用docker的流程 3 项目中使用docker的详细过程 31 虚拟机 virtual box的配置 32 配置仓库http协议地址 33 下载cacti环境image镜像 34 运行以cacti镜像为环境的容器 针对第4个参数 35 测试本地开发环境 6附录1、文档目的
Docker容器与虚拟化技术——服务器监控Cacti
05-31 1869
服务器监控Cacti 一、简介 Cacti是一款用PHP开发的性能与流量监测工具,监测对象可以使Linux或Windows服务器,也可以是路由器、交换机等网络设备,主要基于SNMP来搜集CPU占用、内存使用、运行进程数、磁盘空间、网卡流量等各种数据。 Cacti通过调用Net-SNMP工具采集监测数据,并结合RRDTool记录数据并绘制图片,最终以Web形式展现给用户 二、配置 1、服务器配置...
部署Cacti监控平台
weixin_34088598的博客
02-22 378
1 部署Cacti监控平台1.1 问题本案例要求部署一台Cacti监控主机,并安装相关监控组件,为进一步执行具体的监控任务做准备:安装net-snmp、net-snmp-utils安装LAMP及相关依赖软件包部署Cacti监控平台初始化监控页面1.2 方案使用1台RHEL6虚拟机,安装部署LAMP环境、Cacti及相关的snmp组件包,配置数据库并对Cacti监控平台进行初始...
以WHOC为例的电源电气安全性测试规范
最新发布
weixin_54148147的博客
10-10 825
摘要:随着数字化转型加速,数据中心需求年增10%,服务器安全测试至关重要。国际标准IEC62368-1取代IEC60950-1,要求进行耐压、接地阻抗等四项电气安全测试。以周源科技2700W电源为例,其通过80PLUS铂金等多项认证,满足高功率、低干扰的专业需求。测试标准涉及耐压(10kV/1min)、接地电阻(≤1Ω)、绝缘电阻及接触电流(人体模型1500-2000Ω)等核心指标,确保设备在高温高湿等严苛环境下可靠运行。(149字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fatsheep洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值