记一次某春秋靶场<宇宙尘埃>打靶体验
2022-12-22 16:14:59 Author: xz.aliyun.com(查看原文) 阅读量:13 收藏

第一个靶场-
前记:第一个靶场给出提示“非http协议访问”
0x01
浏览器访问地址

没错!就是打不开。正如题目所说的一样非http协议。
真是搞不懂不是http协议,但是给出的地址是http://ip:端口
呵呵笑了!
0x02
给出了端口,那就扫一下吧。
nmap扫面端口:
nmap -sV -sC -A -T4 ip地址 -p 端口
nmap -sV --version-intensity 9 ip地址 -p 端口
当然第一个扫不出来,所以用了第二个,不要问我这是啥脚本,会用就行!过!
截图如下:

显示ajp协议(第一次见到这个,有点懵逼,度娘搜搜)
搜了半天,终于有结果了(期间无头脑,俗称瞎找)
0x03
CVE-2020-1938 :Apache Tomcat AJP 漏洞
描述:
Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响(tomcat默认将AJP服务开启并绑定至0.0.0.0/0).
三、漏洞危害
攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害
四、影响范围
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
五、前提条件
对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。注意 Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009 。
六.漏洞成因分析:
tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。
0x04
这部分是自己的曲折路:
既然浏览器不能访问,apche tomcat可以访问,自己建一个来访问看看。
运用现成的环境

自己搜搜配置来试试,结果

好嘛,一大堆报错,草贴。给我搞急了,随即蹲马桶去了。
回头想了想,没有先成的exp吗,知道漏洞编码了,去github看看。
0x05

工具地址:https://www.00theway.org/2020/02/22/ajp-shooter-from-source-code-to-exploit/#enter-hacking

有的工具是有小bug的
运行截图

访问index.jsp得到


那我们就去访问对应的地址!ok获得对应的flag

第二个靶场
0x01
第二个靶场如图

不懂这是啥得可以去问问度娘!

0x02
找漏洞的过程很艰难,看到了sign in 如下


很人性化知道账号密码放在哪里了,还想着可能有文件读取漏洞之类的,

后来百度一搜,都会有提示账号密码放在这个位置,最后打脸了。尴尬!!!

希望破灭。继续搜漏洞吧
0x03
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
漏洞描述
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。
影响范围
Nexus Repository Manager 3.x OSS / Pro <= 3.21.1

度娘搜编号就有,用burpsuite抓包看看吧(其实默认密码就是admin,admin后来才发现的)


好了可以执行了
执行系统命令也可以

但就是没回显,这不就是扯犊子了吗,没回显咋看到flag吖,再继续想办法,
0x04
找到一个exp(可以从github上找找看,具体在哪里找的我忘记了)
截图如下:

这个也是有个小bug,但是我们要的是他的代码
问度娘这个漏洞可以构造回显,需要自己构造,你们可以去搜搜,我就用现成的代码了!开心!!!


需要加上404:命令
这一步一定要仔细,小心
到这里啊我们可以执行系统命令并且有回显了!美滋滋!!!!
0x05
找flag文件


竟然在根目录里(这为下一个靶场埋下了伏笔)
读取:

第三个靶场
0x01
第三个靶场给了一个内容管理系统

从下面可以看到


ok那我们去搜索对应的漏洞
这里我们可以用到kali系统的工具


本工具是一个收容了许多漏洞,并且会有对应的poc,exp脚本
0x02
使用其中的漏洞需要登录
试了一下注册,不行,漏洞用docker搭建的应该不可以出网,
那就只能试试登录了,哎admin,admin进来了。好家伙,原来后台密码都折磨简单呀!!!
自己在本地搭建了一个一摸一样的网站,源码可以去搜到
源码地址:https://www.jb51.net/codes/563316.html
结合小皮面板把这个网站搭建完成


这个域名是我自己起的,你们访问不到的哈
0x03
找漏洞有文件上传漏洞,sql注入漏洞,你们可以自己搭建试试,我没有成功,原因不知!!!!
然后去找了找后台管理。哎 真找到了。访问


然后寻摸了半天看看有没有修改代码的地方,等等,,,,
好消息是有一个执行sql语句的地方

更好的消息是这是用root权限启动的。我的天涯!!!这不完美了吗

好,我们下一步的思路就是mysql写入php可执行文件,并且访问,想法很美好,现实很残酷
0x04
mysql写入文件和读取文件:
select "<?php phpinfo();?>" into outfile '/var/www/html/admin/phpinfo.php';
select load_file('/var/www/html/shell.php');
写入了文件成功,但是浏览器访问不到

可能是网站用www-date开的没有权限访问显示

哎。难搞呀!!!!

只能读文件,这他喵的我去哪里找flag吖,草贴!!!!

绞尽脑子,去找别的漏洞,哎,没找到

过了一天,!!

哎,,看一看是否和上一个靶场一样的位置

结果

我的天呢,他喵的 此时只能说 卧槽卧槽卧槽 牛逼!!!!

总结
总体来看都是一些nday漏洞,只是自己拿来用了,没啥好炫耀的!!
又时候方向比努力更重要!!!!


文章来源: https://xz.aliyun.com/t/11973
如有侵权请联系:admin#unsafe.sh