192.168.1.123:8161
一眼看出是Apache ActiveMQ的中间件
利用kunpeng扫一下
意料之中
查找百度利用教程
开始复现
成功上传不解析
教程说移到admin目录,那就要找根目录,根据教程查找
响应码500不爆路径,这个被修复了???
打开登陆页面试一下默认账号密码admin admin
既然登陆到了admin里面,直接百度Apache ActiveMQ获取根目录方法
他们说admin目录下有给test,test下有一个systemProperties.jsp
构造一下路径
/opt/apache-activemq-5.11.1/webapps/admin/none.jsp
然后把/fileserver/none.jsp 的移动到admin里面
成功拿下shell
192.168.1.123:8080
网站采用tomcat搭建
直接放进kunpeng
扫描到存在WebDav Put开启漏洞
直接上工具
192.168.1.123:7001
网站采用weblogic中间件
存在反序列化漏洞
192.168.1.123:9200
扫描器扫到
百度一下elasticsearch漏洞
命令执行漏洞用不了
未授权访问漏洞
一些利用的URL
http://192.168.1.123:9200/_cat/indices/
http://192.168.1.123:9200/_plugin/head/
http://192.168.1.123:9200/_nodes
http://192.168.1.123:9200/_nodes?prettify
http://192.168.1.123:9200/_status
http://192.168.1.123:9200/_search?pretty
http://192.168.1.123:9200/login
目录穿越漏洞
192.168.1.123:5984
直接百度搜CouchDB漏洞
CVE-2017-12635+CVE-2017-12636
可以打一套组合拳
可见,返回403错误:{"error":"forbidden","reason":"Only _admin may set roles"},只有管理员才能设置Role角色:
发送包含两个roles的数据包,即可绕过限制:
成功创建管理员,账户密码均为xiaobaitu
利用poc
版本是2.1
成功反弹
192.168.1.123:8000
Xss反射型漏洞-CVE-2017-12794
http://192.168.1.123:8000/create_user/?username=<script>alert(1)</script>
总结:百度是最好的师傅
工具百度上也有,有不懂的地方可以留言
