深入分析CVE-2021-4034及漏洞复现

最新推荐文章于 2024-06-25 09:10:20 发布
最新推荐文章于 2024-06-25 09:10:20 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: 网络安全 渗透 白帽 文章标签: 服务器 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67105288/article/details/122982429
版权
本文深入探讨了CVE-2021-4034漏洞,总结了正向shell的各种利用方式,包括winrm与http.sys端口复用、HTTP Server API、reGeorg代理、iptables端口转发技巧以及msf正向shell的创建和监听。同时,文章还提到了防御手段和遇到的问题。
摘要由CSDN通过智能技术生成

正向shell总结

一.winrm,http.sys(端口复用)

介绍

winrm

WinRM全称是Windows Remote Management,是微软服务器硬件管理功能的一部分,能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统,获得一个类似Telnet的交互式命令行shell,而底层通讯协议使用的是HTTP。

HTTP.sys

HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,它有一个重要的功能叫Port Sharing,即端口共享。所有基于HTTP.sys驱动的HTTP应用可以共享同一个端口,只需要各自注册的url前缀不一样即可。

winrm默认监听端口:

5985 http
5986 https

利用场景及其限制

  1. 目标机器开启winrm服务
  2. 目标机器是win server,windows主机不行
  3. 目标机器winrm没有白名单(一旦白名单ip是无法登录的)
  4. 组合HTTP.sys驱动自带的端口复用功能
  5. 必须要知道明文密码(也可以使用hash传递)

靶机配置

开启winrm服务,并且监听80端口
winrm quickconfig -q
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

本地配置

winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}

执行命令

winrs -r:http://www.baidu.com -u:administrator -p:Passw0rd whoami
执行命令是cmd即可进行shell

winrm invoke create wmicimv2/win32_process -SkipCAcheck-skipCNcheck @{commandline="calc.exe"} -r:DC.whoamianony.org
可以在远程主机启动计算器

Invoke-Command-ComputerName 192.168.198.129 -Credential root -Command {ipconfig}
# Invoke-Command -ComputerName [host] -Credential [user] -Command {[command]}
# Invoke-Command -ComputerName [host] -Credential [user] -ScriptBlock {[command]}

HASH登录

项目地址:

https://github.com/Hackplayers/evil-winrm

使用方法:

ruby evil-winrm.rb -i 192.168.1.100 -u Administrator -p 'MySuperSecr3tPass123!' -s '/home/foo/ps1_scripts/' -e '/home/foo/exe_files/'

错误以及其他问题解决

image

原因:仅仅支持server,不支持windows

  • UAC问题

    WinRM服务也是受UAC影响的,所以本地管理员用户组里面只有administrator可以登录,其他管理员用户是没法远程登录WinRM的。要允许本地管理员组的其他用户登录WinRM,需要修改注册表设置。

reg add HKLM\SOFTWARE\Microsoft\Windows\
最低0.47元/天 解锁文章
白鹭鹭鹭
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-4034漏洞复现
weixin_50825713的博客
01-27 4195
漏洞描述: 最近公开了CVE-2021-4034漏洞,这个漏洞主要就是利用Linux下polkit工具集的本地权限提升漏洞,任何本地非特权用户可以通过这个漏洞获得root权限。 影响范围: 非特权用户可以通过此漏洞获取root权限,目前主流的Linux版本均受影响。 漏洞利用: 先将poc上传到kali or Linux中(这里是普通用户登录)。 然后切换到该目录下查看是否存在。 然后通过gcc编译器进行编译,通过-o指定生成的结果文件。 然后切换到当前目录下的这个新生成.
CVE-2021-41773&&CVE-2021-42013复现
weixin_42345596的博客
10-09 4867
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
网络安全漏洞挖掘之CVE漏洞复现
最新发布
anquan2233的博客
06-25 760
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
CVE-2021-4034提权漏洞复现
m0_66299232的博客
10-15 1568
当前版本的pkexec中没有正确处理参数和环境变量,导致攻击者可以利用这个Bug劫持环境变量`GCONV_PATH`,进而劫持动态链接库,以root身份执行任意代码。因为这个漏洞不是存在于一个服务中,所以Vulhub只是提供了一个包含Polkit(PolicyKit)v0.105版本套件的Ubuntu。Polkit(之前名为PolicyKit)是一个权限相关的套件,pkexec是其中用于以其他用户身份执行命令的工具,它具有suid权限。./cve-2021-4034 //执行后,提权成功。
CVE-2021-4034:Linux Polkit 权限提升漏洞复现及修复
热门推荐
一只爱吃橙子的羊
01-27 2万+
本文仅为验证漏洞,在本地环境测试验证,无其它目的 CVE 编号: CVE-2021-4034 漏洞说明: 近期,国外安全研究团队在 polkit 的 pkexec 中发现存在的本地权限提升漏洞CVE-2021-4034) 关于 Polkit pkexec for Linux Polkit(以前称为 PolicyKit)是一个用于在类 Unix 操作系统中控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式。也可以使用 polkit 执行具有提升权限的命令,使用命令 pkexec 后
CVE-2021-4034复现
m0_46607055的博客
01-28 411
漏洞分析 问题出在 pkexec 命令上 命令基本格式 pkexec [--user username] program 其含义,以指定用户身份 运行 文件,默认则为root 正常使用,是需要输入密码的。 在 main 函数里,如果传入的命令不是绝对路径,就会在 PATH 环境变量的目录里搜索。 在 534 行的 for 循环从下标 1 开始遍历 argv[]。但 Linux 里 argv 允许只包含一个元素,就是使用 execve 并给 argv 传入 {0},此时 argc 就是
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析 .pdf
09-05
《Apache Druid CVE-2021-25646 远程代码执行漏洞深度解析》 Apache Druid,作为一个高性能、列式存储的开源分布式数据存储系统,广泛应用于商业智能和OLAP(在线分析处理)场景,以处理大量实时和历史数据。然而,...
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1653
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
tiki组件:CVE-2020-15906 && CVE-2021-26119复现
11-24
这两个CVE(Common Vulnerabilities and Exposures)——CVE-2020-15906 和 CVE-2021-26119,都是针对Tiki组件的安全漏洞,可能导致恶意攻击者能够获取未经授权的访问权限或执行恶意代码。 **CVE-2020-15906**,被...
两个CVE漏洞复现
qq_44704184的博客
07-14 2310
简单复现两个漏洞
Linux Polkit本地权限提升漏洞(CVE-2021-4034)复现
慢就是快
02-12 3417
Polkit 是用于在类 Unix 操作系统中控制系统范围特权的组件。它为非特权进程提供了与特权进程进行通信的有组织的方式。 polkit 的 pkexec 存在本地权限提升漏洞,已获得普通权限的攻击者可通过此漏洞获取root权限。
CVE-2021-4034_Polkit提权漏洞复现与修复
Jietewang的博客
06-09 5641
CVE-2021-4034:利用polkit的pkexec进行Linux普通权限提升测试以及CentOS和Ubuntu修复建议
漏洞复现CVE-2021-4034 pkexec提权漏洞
做自己喜欢的事,并将其发挥到极致!
02-10 2812
文章目录声明一、漏洞概述二、影响范围三、本地环境复现四、修补建议总结漏洞原理深层剖析 声明 本文章仅用于学习和技术研究,切勿用于非授权情况下的攻击测试行为,如因此产生的一切不良后果与文章作者无关!!! 一、漏洞概述 Linux Polkit 的 pkexec程序中发现了一个本地权限提升漏洞。pkexec应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。 由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。 攻击者可以通
Windows CVE-2022-21907漏洞复现
qq_53579360的博客
11-13 1945
漏洞复现
内核CVE-2024-1086漏洞复现脚本
06-19
CVE-2024-1086是一个假设的漏洞编号,因为到目前为止,2024年的CVEs尚未公开,且具体的CVE-2024-1086漏洞详情并未公开。通常情况下,内核漏洞复现脚本是非常复杂的,因为它涉及到Linux内核源代码的深入理解和可能的特定攻击向量。这些脚本可能包括以下步骤: 1. **获取源代码**:首先,你需要从Linux内核的官方git仓库或稳定版本下载相关的内核源代码。 2. **定位漏洞**:查找CVE描述中的相应部分,这通常在`Documentation/`目录下的`security/`或`kernel/`文件夹中。 3. **理解漏洞原理**:阅读漏洞分析报告、补丁和内核代码,理解漏洞是如何利用的。 4. **编写Poc(Proof of Concept)**:根据漏洞原理编写一个简单的程序或脚本来模拟攻击条件。 5. **执行复现**:在构建好的内核环境中运行这个Poc,看是否能触发预期的漏洞行为。 由于这是理论情况,并且实际的漏洞复现脚本通常不会公开,因为它们可能被用于恶意目的,所以你可能需要查阅官方安全公告、安全研究者发布的详细指南或者等待官方补丁发布后才能获得更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值