信息搜集

As is common in real life pentests, you will start the Puppy box with credentials for the following account: levi.james / KingofAkron2025!

遇事不决 nmap 开扫

1

sudo nmap -sS 10.10.11.70 -p- -sV -T4 --min-rate 1000 -vv

很明显是个 windows 机器，尝试 winrm 无法登陆

通过给的凭证枚举一下 SMB 的权限信息，发现一个 DEV 共享目录，但是没权限

1

nxc smb 10.10.11.70 -u levi.james -p 'KingofAkron2025!' --shares

枚举一波用户

前言

仅供学习交流，请勿用于非法行为

看到有公众号发了漏洞描述，但没有详情，直接分析一手

漏洞简介

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。

一个具有 API 访问权限的低权限（常规）Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞，通过 groupBy 参数执行任意 SQL 命令。

影响版本

7.0.0 <= zabbix <= 7.0.7

7.2.0 <= zabbix <= 7.2.1

前言

前两天看到这条通告，一搜发现评分 9.8，于是分析一下具体怎么个事

https://www.openwall.com/lists/oss-security/2025/03/27/8

漏洞简介

Apache Pinot 是一个实时分布式的 OLAP 数据存储和分析系统。使用它实现低延迟可伸缩的实时分析。Pinot 从离线数据源（包括 Hadoop 和各类文件）和在线数据源（如 Kafka）中攫取数据进行分析。

Apache Pinot 存在身份认证绕过漏洞。如果路径不包含 / 且包含 .则不需要身份验证。

影响版本

Apache Pinot < 1.3

环境搭建

参考官方文档

数据管理

猜测是任意文件读取

通过读取/proc/self/cmdline可以定位到jar包，下载后找到shirokey

直接打shiro反序列化

注入内存马

写入.ssh公钥

漏洞简介

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

Apache Tomcat 应用程序在启用了servlet的写入功能（默认禁用）、使用Tomcat文件会话持久化、存储机制默认位置且包含可反序列化利用的依赖库时可以上传恶意序列化流，并触发反序列化进行进一步利用，可造成远程命令执行等危害。

影响版本

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

环境搭建

修改 tomcat 安装目录中 conf/web.xml 文件，设置 readonly 为 false

1
2
3
4
5
6
7

<servlet>
  <!-- 启用写入 -->
  <init-param>
    <param-name>readonly</param-name>
    <param-value>false</param-value> 
  </init-param>
</servlet>

Apache-Struts2-文件上传逻辑绕过-CVE-2024-53677-S2-067 - y4tacker

漏洞简介

Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2024年12月，Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中，若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录，在特定场景下可能造成代码执行。

影响版本

Struts 2.0.0 - Struts 2.3.37

Struts 2.5.0 - Struts 2.5.33

Struts 6.0.0 - Struts 6.3.0.2

环境搭建

https://github.com/proudwind/struts2_vulns/tree/master/s2vuls

第一次复现struts的漏洞，借助了这个项目搭建环境（自己尝试从零搭环境发现达不到预期效果，访问upload.action返回404，怪）

漏洞简介

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。

攻击者可以通过API接口，向 user.get API端点发送恶意构造的请求，注入SQL代码，以实现权限提升、数据泄露或系统入侵。

影响版本

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix 7.0.0

环境搭建

参考https://forum.butian.net/share/3056

首发于奇安信攻防社区 https://forum.butian.net/article/631

https://github.com/kekingcn/kkFileView

简介

kkFileView为文件文档在线预览解决方案，该项目使用流行的spring boot搭建，易上手和部署，基本支持主流办公文档的在线预览，如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等

环境搭建

以v3.6.0环境搭建为例

首先从dockerhub下载官方docker镜像

pull下来后执行

1

docker run -p 8012:8012 -p 5005:5005 -it --entrypoint /bin/bash  keking/kkfileview:v3.6.0

Apache Struts2 文件上传分析(S2-066) - y4tacker

Struts2 S2-066漏洞浅析 - zh1z****

漏洞简介

Apache Struts 2是一个基于MVC设计模式的Web应用框架，可用于创建企业级Java web应用程序。

由于文件上传逻辑存在缺陷，威胁者可操纵文件上传参数导致路径遍历，某些情况下可能上传恶意文件，造成远程代码执行。

影响版本

Struts 2.0.0 - Struts 2.3.37 (EOL)

Struts 2.5.0 - Struts 2.5.32

Struts 6.0.0 - Struts 6.3.0

环境搭建

首发于先知社区：https://xz.aliyun.com/t/16708

https://www.geekcon.top/doc/ppt/GC24_SpringBoot%E4%B9%8B%E6%AE%87.pdf

http://squirt1e.top/2024/11/08/fastjson-1.2.80-springboot-xin-lian/

GitHub - luelueking/CVE-2022-25845-In-Spring: CVE-2022-25845(fastjson1.2.80) exploit in Spring Env!

前言

所有依赖 Fastjson 版本 1.2.80 或更早版本的程序，在应用程序中如果包含使用用户数据调用 JSON.parse 或 JSON.parseObject 方法，但不指定要反序列化的特定类，都会受此漏洞的影响。

在之前的研究中针对fj1.2.80已经有了三种常见的利用场景

GitHub - su18/hack-fastjson-1.2.80