- 博客(56)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Struts2 S2-057 远程代码执行漏洞(CVE-2018-11776)
影响环境Struts<= Struts 2.3.34, Struts 2.5.16环境搭建cd vulhub/struts2/s2-057docker-compose up -d启动环境后,访问http://your-ip: 8080/show/,您将看到Struts2测试页面。利用S2-057要求具备以下条件:action元素没有设置名称空间属性,或者使用了通配符名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞。Pa..
2020-06-30 14:32:26
794
原创 S2-053 远程代码执行漏洞
影响版本Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10环境搭建cd vulhub/struts2/s2-053docker-compose up -d环境运行后,访问http://your-ip:8080/hello.action即可看到一个提交页面。漏洞复现Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemark
2020-06-30 14:30:09
699
原创 S2-052 远程代码执行漏洞
影响版本Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12环境搭建cd vulhub/struts2/s2-052docker-compose up -d启动环境后,访问http://your-ip:8080/orders.xhtml即可看到showcase页面。漏洞复现由于rest-plugin会根据URI扩展名或Content-Type来判断解析方法,所以我们只需要修改orders.xhtml为orders.x
2020-06-30 14:27:53
554
原创 S2-048 远程代码执行漏洞
影响版本2.0.0 - 2.3.32漏洞搭建cd vulhub/struts2/s2-048docker-compose up -d环境启动后,访问http://your-ip:8080/showcase/即可查看到struts2的测试页面。漏洞复现访问Integration->Struts 1 Integration:触发OGNL表达式的位置是Gangster Name这个表单。输入${233*233}即可查看执行结果(剩下两个表单随意填写)发
2020-06-29 15:06:02
353
原创 S2-046 远程代码执行漏洞(CVE-2017-5638)
前言使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。影响版本Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10漏洞环境执行如下命令启动struts2 2.3.30:docker-compose up -d访问http://your-ip:8080即可看到上传页面。漏洞复现与s2-045类似,但是输入点在文件上传的filename值位置,并需要使用\x00截断。由于需要发送畸形数据包
2020-06-29 10:50:21
996
原创 S2-016 远程代码执行漏洞
前言Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。并且jakarta默认是开启的实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分影响版本Struts 2.3.5 - Struts 2.3.31, Struts 2..
2020-06-29 10:48:32
1028
原创 S2-015 远程代码执行漏洞
影响版本2.0.0 - 2.3.14.2环境搭建cd vulhub/struts2/s2-015docker-compose build && docker-compose up -d漏洞分析漏洞产生于配置了 Action 通配符 *,并将其作为动态值时,解析时会将其内容执行 OGNL 表达式,例如:<package name="S2-015" extends="struts-default"> <action name="*" c
2020-06-28 16:17:28
620
原创 S2-013/S2-014 远程代码执行漏洞
前言S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。影响版本2.0.0 - 2.3.14.1环境搭建cd vulhub/struts2/s2-013docker-compose build && docker-compose up -d漏洞复现测试是否存在漏洞http://yourIP:8080/link.action?a=%24{
2020-06-28 13:33:21
545
1
原创 S2-009 远程代码执行漏洞
影响版本2.1.0 - 2.3.1.1环境搭建cd vulhub/struts2/s2-009docker-compose build && docker-compose up -d访问http://your-ip:8080/ajax/example5.actionhttp://yourIP:8080/ajax/example5.action漏洞复现http://yourIP:8080/ajax/example5.action?age=12313&
2020-06-28 13:31:47
525
原创 S2-005 远程代码执行漏洞
影响版本2.0.0 ~2.1.8.1环境搭建cd vulhub/struts2/s2-005docker-compose build && docker-compose up -d漏洞复现发生数据包包GET /example/HelloWorld.action?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%..
2020-06-27 17:04:25
704
原创 S2-001 远程代码执行漏洞
前言该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行环境搭建使用docker和vulhub搭建环境cd vulhub/struts2/s2-001docker-compose build&&.
2020-06-27 16:12:15
164
原创 Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
前言该漏洞只对Windows平台有效,攻击者向CGI Servlet发送请求,可在具有Apache Tomcat权限的系统上注入和执行任意操作系统命令。漏洞成因是当将参数从JRE传递到Windows环境时,由于CGI_Servlet中的输入验证错误而存在该漏洞。影响版本Apache Tomcat 9.0.0.M1 ~9.0.17Apache Tomcat 8.5.0 ~8.5.39Apache Tomcat 7.0.0 ~7.0.93环境搭建Apache Tomcat...
2020-06-27 14:41:06
3697
原创 Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
前言Apache Solr 是一个开源的搜索服务器。在其 5.0.0 到 8.3.1版本中,用户可以注入自定义模板,通过Velocity模板语言执行任意命令。影响版本Apache Solr 5.0.0 ~ 8.3.1环境搭建docker-compose up -d访问http://your-ip:8983即可查看到一个无需权限的Apache Solr服务。漏洞复现默认情况下params.resource.loader.enabled配置未打开,无法使用..
2020-06-26 11:41:10
860
原创 Jackson 远程命令执行漏洞(CVE-2019-12384)
前言由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。影响版本Jackson-databind 2.0.0 ~2.9.9.1环境搭建创建一个docker-compose.yml的文件version: '2'services: web: image: te
2020-06-26 11:38:53
8189
原创 Apache Solr远程代码执行漏洞 (CVE-2019-0193)
前言Apache Solr官方发布Apache Solr存在一个远程代码执行漏洞(CVE-2019-0193),攻击者可利用dataConfig参数构造恶意请求,导致执行任意代码影响版本Apache Solr < 8.2.0环境搭建切换到solr目录cd vulhub/solr/CVE-2019-0193docker-compose up -ddocker-compose exec solr bash bin/solr create_core -c test -d
2020-06-25 18:52:11
1045
原创 sudo权限绕过漏洞复现(CVE-2019-14287)
前言sudo 是所有 unix操作系统(BSD, MacOS, GNU/Linux) 基本集成的一个用户权限控制/切换程序。允许管理员控制服务器下用户能够切换的用户权限CVE-2019-14287是管理员在配置文件中用了ALL关键词后造成的。影响版本sudo < 1.8.28利用条件1、sudo -v < 1.8.282、知道当前用户的密码3、当前用户存在于sudo权限列表我们来看一下/etc/sudoers漏洞复现sudo -u#-...
2020-06-25 15:45:06
875
原创 CVE-2019-12735(Vim远程代码执行)漏洞复现
前言该漏洞存在于编辑器的 modeline功能,部分 Linux 发行版默认启用了该功能,macOS 是没有默认启用。影响版本Vim < 8.1.1365Neovim < 0.3.6测试环境Vim版本8.1.948漏洞复现参考:https://github.com/pcy190/ace-vim-neovim/由于这个版本没有默认开启modeline,所以需要自己手动添加下,修改home/.vimrc文件,添加一条规则se...
2020-06-25 12:52:43
922
原创 Drupal远程代码执行漏洞(CVE-2019-6340)
前言Drupal官方之前更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启REST的Web服务拓展模块的情况下,可能导致PHP代码执行的严重安全。根据官方公告和自身实践,8.6.x或(<8.6.10)两种情况可能导致问题出现:RESTful Web Services拓展开启,并且启用了REST资源(默认配置即可),不需要区分GET,POST等方法即可完成攻击。 JSON:API服务模块开启,此服务尚未分析。影响版本Drupal < 8.6.1.
2020-06-24 18:42:30
1622
原创 Apache Tomcat 反序列化代码执行漏洞复现(CVE-2020-9484)
前言Apache Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。漏洞分析1、攻击者能够控制服务器上文件的内容和文件名称2、服务器PersistenceManager配置中使用了FileStore.
2020-06-24 09:30:29
8170
原创 SaltStack 任意文件读写漏洞(CVE-2020-11652)
前言SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。在 CVE-2020-11652 目录遍历漏洞中,攻击者通过构造恶意请求,可以读取、写入服务器上任意文件。影响版本:SaltStack Version < 2019.2.4 SaltStack Version < 3000.2漏洞分析漏洞由Salt Mast
2020-06-23 18:12:40
2181
原创 PostgreSQL 提权漏洞(CVE-2018-1058)
前言PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。漏洞环境启动存在漏洞的环境:docker-compose up -d环境启动后,将在本地开启PG默认的5432端口。参考上述链接中的第二种利用方式,我们先通过普通用户vulhub:vulhub的身份登录postgres: psql --host your-ip --username vulhub执行如下语句后退
2020-06-23 18:10:39
1452
原创 SaltStack 水平权限绕过漏洞(CVE-2020-11651)
前言SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。漏洞分析漏洞由ClearFuncs类引起,该类无意中暴露了_send_pub()和_prep_auth_
2020-06-23 18:08:21
1254
原创 CVE-2020-0787复现
前言当Windows Background Intelligent Transfer Service (BITS)未能正确地处理符号链接时,存在权限提升漏洞。成功利用此漏洞的攻击者可以覆盖导致提升状态的目标文件。要利用此漏洞,攻击者首先必须登录到系统。然后,攻击者可以运行巧尽心思构建的应用程序,利用此漏洞并控制受影响的系统。影响版本参考https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0787
2020-06-22 18:30:00
2676
1
原创 OpenSSH 用户名枚举漏洞(CVE-2018-15473)
前言OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。已经通过Github公开https://github.com/openbsd/src/commit/779974d35b4859c07bc3cb8a12c74b43b0a7d1e0环境搭建cd vulhub/openssh/CVE-2018-15473docker-compose build && docker-compose up -d环境启动后,我
2020-06-21 11:30:42
4397
2
原创 Node.js 目录穿越漏洞(CVE-2017-14849)
漏洞分析原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误,导致向上层跳跃的时候(如../../../../../../etc/passwd),在中间位置增加foo/../(如../../../foo/../../../../etc/passwd),即可使normalize返回/etc/passwd,但实际上正确结果应该是../../../../../../etc/passwd。express这类web框架,通常会提供了静态文件服务器的功能,这些功能依赖于norma
2020-06-21 11:29:13
2066
原创 Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
前言Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。影响版本Nexus Repository Manager OSS/Pro 3.x <= 3.21.1环境搭建cd vulhub/nexus/CVE-2020-10199docker-compose up -d访问http://your-ip:8081即可看到Web页面。漏洞复现
2020-06-20 18:30:33
4130
原创 Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)
前言Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞。参考链接:https://vulhub.org/#/environments/nexus/CVE-2019-7238/影响版本Nexus Repository Manager OSS/Pro 3.6.2版本到3
2020-06-20 15:04:20
1445
原创 mongo-express 远程代码执行漏洞(CVE-2019-10758)
前言mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。影响版本mongo-express, 0.54.0 之前的版本环境搭建cd vulhub/mongo-express/CVE-2019-10758docker-compose up -d环境启动后,访问http://your-ip:8081即可查看到Web页面
2020-06-20 15:01:02
1637
2
原创 mini_httpd任意文件读取漏洞(CVE-2018-18778)
前言Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。影响版本ACME mini_httpd before 1.30漏洞分析在mini_httpd开启虚拟主机模式的情况下,用户请求http://HOST/FILE将会访问到当前目录下的HOST/FILE.
2020-06-19 12:32:18
2987
原创 Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
简介漏洞是由此Joomla 3.7.0 版本中引入的新组件(com_fields)带来的环境搭建cd /root/vulhub/joomla/CVE-2017-8917docker-compose up -d启动后访问http://your-ip:8080即可看到Joomla的安装界面按照顺序安装即可安装完成后,访问http://your-ip:8080/index.php?option=com_fields&view=fields&layout=modal&
2020-06-19 12:30:21
1849
原创 Liferay Portal CE 反序列化命令执行漏洞(CVE-2020-7961)
简介Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器上执行任意命令。影响版本Liferay Portal: 6.1、6.2、7.0、7.1、7.2环境搭建cd /vulhub/liferay-portal/CVE-2020-7961docker-compose up -d启动成功后,访问http://your-ip:8080即可查看到默认首页漏洞复现首先准
2020-06-19 11:08:37
3584
1
原创 Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)
简介本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数据时则会导致截断。截断后的数据在反序列化时就会失败,最后触发反序列化漏洞。影响版本Joomla 1.5.x, 2.x, and 3.x before 3.4.6PHP 5.6 < 5.6.13, PHP 5.5 < 5.5.29 and PHP 5.
2020-06-18 17:40:37
877
原创 JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
简介Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。环境搭建使用vulhub和docker快速搭建环境cd vulhub/jboss/CVE-2017-7504docker-compo
2020-06-18 14:38:01
1053
原创 Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)
环境搭建使用vulhub和docker搭建环境cd /vulhub/jenkins/CVE-2017-1000353docker-compose up -d访问http://your-ip:8080即可看到jenkins已成功运行漏洞复现wget https://github.com/vulhub/CVE-2017-1000353/releases/download/1.1/CVE-2017-1000353-1.1-SNAPSHOT-all.jar获取CVE-2017-1
2020-06-18 09:24:32
671
原创 Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
简介Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。环境搭建cd /vulhub/jmeter/CVE-2018-1297docker-compose up -dcat docker-compose.yml可以看到开启的是1099端口环境启动后,将启动一个RMI服务并监听1099端口。下载ysoseria
2020-06-17 20:14:14
2096
原创 Jackson-databind 反序列化漏洞 (CVE-2017-17485)
漏洞搭建cd /root/vulhub/jackson/CVE-2017-7525docker-compose up -d漏洞原理利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
2020-06-17 16:49:08
1902
原创 Jackson-databind 反序列化漏洞(CVE-2017-7525)
漏洞原理Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。所以,本漏洞利用条件如下:开启 Jackso
2020-06-17 13:51:53
3728
原创 Apache SSI 远程命令执行漏洞
漏洞原理:在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用<!--#exec cmd="id" -->语法执行任意命令。漏洞环境搭建docker-compose builddocker-compose up -d问http://your-ip:8080/upload.php,即可看到一个上传表单。漏洞复现正常上传PHP文件是不允许的,我们可以上传一个shell
2020-06-17 10:42:55
484
原创 kali渗透综合靶机之Lazysysadmin
0x01靶机环境下载Lazysysadmin靶机百度云下载链接:https://pan.baidu.com/s/1pTg38wf3oWQlKNUaT-s7qQ提取码:q6zo0x02Lazysysadmin靶机搭建直接在VMware打开即可文件->打开->Lazysysadmin.ovf0x03 渗透测试主机发现netdiscover -i eth0 -r 192.168.20.0/24或 netdiscover -i eth0 -r 192.168...
2020-06-16 13:47:15
621
原创 Apache HTTPD 多后缀解析漏洞
简介Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞原理由于管理员的错误配置, AddHandler application/x-httpd-php .php,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最
2020-06-15 17:04:25
627
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人