Nmap项目中SSH公钥认证检测脚本的问题分析与修复

问题背景

在网络安全评估工具Nmap中，ssh-publickey-acceptance脚本被设计用于检测目标SSH服务器是否接受特定的公钥认证。然而，用户报告该脚本在实际使用中会出现误报，即使使用正确的公钥对合法服务器进行测试，脚本也会错误地返回认证失败的结论。

问题现象

当用户执行以下命令测试自己的公钥对自有服务器的认证时：

nmap -p 22 --script ssh-publickey-acceptance --script-args "ssh.usernames={'root'}, ssh.publickeys={'./id_rsa.pub'}" myserver.com

脚本错误地返回了认证失败的结论，而实际上该公钥应该被服务器接受。

技术分析

经过深入分析，发现问题根源在于Nmap的libssh2库实现中存在两个关键缺陷：

1. 会话管理问题：当检测到有效的用户/密钥组合时，SSH会话会在认证过程中被意外释放，但后续代码未能正确处理这种情况，导致内存访问异常。

2. 认证流程中断：在libssh2的用户认证实现中，有效的用户/密钥组合会设置特定的会话状态(userauth_pblc_state)，但脚本未能正确识别这一状态变化，导致认证流程未能正常完成。

解决方案

针对上述问题，开发团队提出了两种修复方案：

1. 回调函数增强：在认证回调函数中添加额外的状态检查，确保在检测到有效认证时能够正确终止流程。这种方法通过检查session->userauth_pblc_state的状态变化来判断认证是否成功。

2. 简化处理逻辑：更优雅的解决方案是让回调函数在检测到有效认证后直接返回特定值(1)，从而触发libssh2内部的错误处理机制。这种方法利用了libssh2现有的错误处理流程，更加简洁可靠。

技术原理

SSH公钥认证流程通常包含以下步骤：

1. 客户端发送认证请求，包含用户名和公钥
2. 服务器验证公钥是否在授权列表中
3. 如果公钥有效，服务器发送挑战请求
4. 客户端使用私钥签名挑战并返回
5. 服务器验证签名，完成认证

在Nmap的实现中，ssh-publickey-acceptance脚本只需要完成前两步即可确认服务器是否接受特定公钥，无需完整的认证流程。修复后的实现正是基于这一原理，在确认服务器接受公钥后立即终止后续流程。

修复效果

应用修复后，脚本能够正确识别以下情况：

• 当测试无效的用户/密钥组合时，脚本正确返回认证失败
• 当测试有效的用户/密钥组合时，脚本正确识别并返回认证成功
• 避免了内存访问异常和会话管理问题

总结

这次修复不仅解决了ssh-publickey-acceptance脚本的功能性问题，还优化了其内部实现逻辑。对于安全研究人员和系统管理员而言，修复后的脚本能够更可靠地评估目标系统的SSH认证配置，为安全评估提供准确的数据支持。这也体现了开源社区通过协作快速定位和解决问题的优势。