溯源反制——ElasticSearch 未授权漏洞到getshell

admin 2022年6月1日23:27:00应急响应评论287 views822字阅读2分44秒阅读模式

最近护网搞溯源的时候运气不错,打到好多红队的傀儡机,下面简单记录一下过程

通过态势感知啊waf啊这些东西可以得到大量的攻击ip,随便挑几个ip拿去威胁情报网站去查

威胁情报网站
微步:https://x.threatbook.cn/
360:https://ti.360.cn/#/homepage
奇安信:https://ti.qianxin.com/


我这里用的是微步的,发现是个傀儡机,虽然这边标的是已经过期了,既然是傀儡机,就说明有漏洞,不然怎么会变成别人的傀儡呢

溯源反制——ElasticSearch 未授权漏洞到getshell


ElasticSearch 未授权漏洞发现和利用
直接使用goby扫描该ip的1-10000端口

溯源反制——ElasticSearch 未授权漏洞到getshell


发现ElasticSearch 未授权漏洞,这我是没想到的,直接扫出来了漏洞

使用谷歌插件ElasticSearch Head可以发现对方开着zabbix,还得到zabbix用户名和密码

溯源反制——ElasticSearch 未授权漏洞到getshell


zabbix命令执行getshell
直接去在URL后面输入zabbix盲猜一手路径,得到zabbix登录页面,芜湖直接登录起飞



溯源反制——ElasticSearch 未授权漏洞到getshell



溯源反制——ElasticSearch 未授权漏洞到getshell


这里zabbix有个可以执行脚本的地方,在管理——脚本中创建脚本


溯源反制——ElasticSearch 未授权漏洞到getshell


在自己的vps中输入如下命令反弹shell


[rootavibrant-story-1]~#nc -Lvvp 1234

溯源反制——ElasticSearch 未授权漏洞到getshell


再在检测——问题中搜索主机,点击主机,在弹出的选项卡中选择我们自己生成的脚本进行下发



溯源反制——ElasticSearch 未授权漏洞到getshell


出现加载中的样式,说明脚本执行成功



溯源反制——ElasticSearch 未授权漏洞到getshell


在返回vps发现shell已经弹回来了



溯源反制——ElasticSearch 未授权漏洞到getshell


总结
到此就结束了,拿到这个ip的时候已经是最后一天了,就急着写报告去提交上了,没有做更进一步的操作

1、谷歌插件ElasticSearch Head是真滴好用
2、因为个人能力不太行提权没去深入的去做,虽然后来知道了今年爆出来过各种提权漏洞,各种sudo提权啊这些东西,不过都是后话了
3、因为权限不够无法执行ps命令查看当前进程,没发现攻击方的真实ip,比较难受


原文始发于微信公众号(白帽兔):溯源反制——ElasticSearch 未授权漏洞到getshell

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日23:27:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  溯源反制——ElasticSearch 未授权漏洞到getshell http://cn-sec.com/archives/1075026.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: