我的首个RCE漏洞发现经历

大家好！在这篇文章中，我将分享我的第一个远程代码执行（RCE）漏洞发现经历。这次漏洞涉及Apache ActiveMQ的CVE-2023-46604。我会重点介绍我是如何发现这个漏洞的，而不是为资深漏洞猎手提供新的技术内容。

在我的侦察过程中，我确保每周更新子域名列表，每三天扫描一次开放端口（尽管最好每天扫描）。对于子域名枚举，我使用了Subfinder和Amass等工具。

subfinder -dL domains.txt -o subdomains.txt
# 然后枚举子域名的子域名
subfinder -dL subdomains.txt -o more-subdomains.txt
# 使用amass
amass enum -passive -norecursive -noalts -df domains.txt -o subs.txt
# 然后枚举子域名的子域名
amass enum -passive -norecursive -noalts -df subs.txt -o more-subs.txt

然后：

cat more-subdomains.txt subdomains.txt subs.txt more-subs.txt | sort -u > targets.txt

之后我开始进行端口扫描。有些情况下我会获得大量子域名（有时超过5000个），我编写了一个简单的脚本来使用DNSx检查子域名，并将它们分成每组15个。然后，我使用nohup运行Naabu以保持在后台运行。

我使用的脚本：

#!/bin/bash

if [ $# -eq 0 ]; then
    echo "Usage: $0 <file>"
    exit 1
fi

cat $1 | dnsx -o $1_ok.txt
split -l 15 $1_ok.txt 15_file_

for file in 15_file_*; do
    nohup naabu -list "$file" -p - -o "${file}.out"&
done

然后：

cat 15*out | sort -u > ports.out

很多时候，我会手动检查这个列表。我过滤掉可能是蜜罐的主机，有时Naabu会给出不可靠的结果。

顺便说一下，之后我会手动检查开放端口在3到10之间的主机。当我注意到一个奇怪的开放端口时，我会使用Nmap来找出其上运行的服务。

在这个实例中，有一个名为bamboo.target.com的主机，我注意到它有一个开放端口54663。

当我使用带有-sSCV标志的Nmap时，我发现它正在运行Apache ActiveMQ，这是其最新版本中存在的CVE-2023-46604。

然后，我简单地应用了漏洞利用代码，它立即生效了。我在一份详细的报告中报告了它，这被证明是一个明智的举动。为分类员和安全团队提供所有必要的信息通常能为你的努力带来丰厚的奖金。

这就是全部内容了，朋友们！感谢您的时间。欢迎查看我的LinkedIn或Twitter——我在那里寻找志同道合的朋友！