实例1:gitstack通用漏洞利用
***gitstack是一款windows上设置自己的专用git服务器的软件。利用它可以创建一个前沿版本控制系统,无需任何git知识。(开发用的)
gitstack也使得安全并保持服务器更新变得非常简单。
gitstack构建在真正Git for windows的顶部,并且与任何其他Git客户端兼容。
对于小型团队来说,完全免费。
2018-3月份的时候,爆出来它有通用利用漏洞。
漏洞描述:在低于,以及等于2.3.10的版本中,程序没有严格控制用户权限,导致攻击者可进行任意添加用户操作;并且由于没有严格控制
并过滤用户的输入,导致攻击者可构造恶意payload,造成命令执行漏洞。
攻击思路以及每一步。(亲自尝试过,没有任何虚假的一步,按照步骤来一定可以实现)
1.查询软件版本
2.寻找现网中存在的漏洞攻击代码(攻击的payload,这个东西在哪里找?www.exploit-db.com 这个组织也是余弦大力推荐的)
3.将漏洞攻击代码加载到开源攻击模块中(msf中)
4.进行攻击检测
攻击的方式msf
哪里寻找payload www.exploit-db.com
拷贝到攻击模块目录下
查看一下文件
启动msf
使用payload
打开测试靶机
设置主机和端口,然后让payload跑起来
拿一下它的Uid,这个已经拿到它的权限了
拿一下shell,查看一下id,这个漏洞已经利用完成了
转载于:https://www.cnblogs.com/sec875/articles/9346725.html
