一、IIS
IIS 6.0解析漏洞
–该版本默认将asp;.jpg这种类型的文件名,默认解析成asp文件,因为服务器对;以后的东西不解析,所以;相当于截断,
–该版本默认将asp/目录下的所有文件当成asp解析
–如果上传一个asp的木马,可以这样绕过,然后服务器会将asp解析成脚本执行文件,还会将cer cdx asa扩展名解析成asp
IIS 6.0PUT漏洞
–IIS Sever在web中开启了webDAV配置可以写入的权限,造成了任意文件上传和任意文件写入漏洞
IIS 7.X解析漏洞
–Fast-CGI运行模式下
–在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php解析为php文件。例如:上传phpinfo文件,命名为test.png,正常不解析,但在后面加上/.php,就可以php格式运行。
IIS 短文件漏洞
–IIS的短文件名机制,可以暴破文件名。
–访问构造某个存在的短文件,会返回404;访问构造某个不存在的短文件,会返回400
–可以用来猜后台地址,rar、zip、bak、sql等敏感文件,局限性:只能猜前六位以及扩展名前三位,不支持中文;需要IIS和.net两个条件都满足。
二、Apache
1.未知拓展名解析漏洞
–apache默认一个文件名可以有多点后缀,当最右的后缀无法识别时,会继续从右向左识别,直到识别到合法后缀才开始解析,例如:xxx.php.ttt,里面ttt无法识别,就继续解析,到php就可以识别,解析为php文件
2.换行解析漏洞
–此解析漏洞的根本原因在于$符号。因为正则匹配$符号匹配\n和\r,所以会匹配到字符串结尾的换行符,上传时添加一个换行符也能被正常解析,并且可以绕过黑名单检测。
–例如:在解析php的时候,xxx.php/x0A将被按照php后缀解析
3.路径遍历漏洞
–Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数对路径参数会先进行url编码,然后判断是否存在…/路径穿越符,当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,%2e就是.
所以可以使用%2e%2e绕过对路径穿越符的检测
–修复之后的2.4.50版本,可以避免一次url编码导致的路径穿越,但还是会调用ap_unescape_url函数对参数再次进行解码,仍然导致路径穿越,因此可以使用url二次编码的方式绕过防御。
4.Apache ssi远程命令执行漏洞
–目标服务器开启SSI与CGI支持,可以上传shtml,利用语法执行命令
–使用SSI,默认扩展名为.stm、.shtm、.shtml
5.AddHandler导致的解析漏洞
–遇到不认识的扩展名时,会从后往前解析,直到遇见认识的扩展名为止,如果都不认识则可能会暴露源码。
6.目录遍历漏洞
–访问一个目录的时候,Apache服务器会默认寻找一个index list中的文件,若文件不存在,则会列出目录下所有文件或返回403状态码
三、Tomcat
1.任意文件上传漏洞
–tomcat允许使用put方法上传任意文件类型,但不允许上传.jsp文件,因此需配合windows解析漏洞,例如1.jsp%20 、 1.jsp::$DATA则可以成功绕过;若是linux+tomcat5.0~9.0,可以使用1.jsp/绕过
2.文件包含漏洞
–由于tomcat的ajp协议对请求参数检查不严格,通过设置request参数可以读取和包含webapp目录下的任意文件
–若请求url为jsp路径,那么文件就会包含此jsp文件,以jsp格式执行,若url不是jsp文件,就会读取此文件内容。
3.未授权弱口令+war后门上传
–tomcat8默认的后台/manager密码为tomcat/tomcat,会导致未授权登录,可以在后台上传war包
4.manager app暴破
–后台密码用base64编码传输,抓包解密
–后台登陆抓包,包里面有一个Authorization字段,里面的就是base64加密,拿去解密得到密码
四、Nginx漏洞
1.文件名逻辑漏洞
–主要原因是错误解析url和获取请求的文件名,正常情况下只有.php文件才会被发送给fastcgi解析,假如我们请求1.gif[0x20][0x00].php,这个url可以匹配上正则.php$,fastcgi在查找文件时会被\0截断,然后Nginx就认为请求的文件是1.gif[0x20]
2.越界读取缓存漏洞
–Nginx通常把一些静态文件进行缓存,缓存的部分就存储在文件中,每个缓存文件包括‘文件头’+‘http返回包头’+‘http返回包体’,如果二次请求命中缓存文件,nginx就会把http返回包体返回
3.文件解析漏洞
–原因是Nginx中php配置不当,与版本无关
–Nginx和FastCGI处理程序不同导致,比如Nginx拿到url为/1.jpg/xxx.php,识别到.php后缀,转交给FastCGI处理程序处理,然后FastCGI识别url:/1.jpg/xxx.php不存在,然后就按照自己的规则去处理,删掉最后的/xxx.php,又看见1.jpg存在,所以就把/1.jpg当成要执行的文件,成功解析。
4.空子节代码执行漏洞
–使用PHP-FastCGI执行php的时候,url里遇到%00空子节时与FastCGI处理不一致,导致可以在非php文件中嵌入php代码,通过url+%00.PHP来执行其中php代码
5.解析漏洞
–假如用户上传shell.jpg文件,但是当用户访问/shell.jpg/shell.php时,会将shell.jpg按照php解析,因为nginx.conf的配置导致把以.php结尾的文件交给FastCGI处理,而在FastCGI处理.php文件时发现不存在,这时php.ini中的cgi.fix_pathinfo=1 发挥作用,如果当前路径不存在,则采用上层路径。
五、JBoss漏洞
-反序列化漏洞
1.Httplnvoker组件
–ReadOnlyAccessFilter过滤器没有任何安全检查
2.JMXlnvokerServlet组件
–JBoss中/invoker/JMXInovkerServlet路径对外开放,JBoss的jmx组件支持反序列化。JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象
3.JBossMQ
–与JMXInvokerServelet原理一样,只不过是路径不一样,他的路径是/jbossmq-httpil/HTTPServerILServlet
4.JMX Console未授权访问Getshell(4.0版本以下)
–主要是由于Jboss中/jmx-console/HtmlAdaptor路径对外开放,没有任何身份验证机制,可以进入到jmx控制台
5.JBOSS 5.x/6.x admin-Console后台部署war包Getshell
–Jboss 5.x/6.x admin-console和web-console的账号密码是一样的。当web-console无法部署war包时可以使用admin-console来部署
六、Weblogic存在漏洞
反序列化漏洞:
1.XMLDecoder
–weblogic的WLS Security组件对外提供webservice服务,其中的XMLDecoder用来解析用户传入的XML数据,解析过程中出现反序列化导致可执行任意命令
–复现:bp抓包把包头改成Content-type:text/xml,然后再文件路径下,写入一句话木马到文件里,由于<和&再xml时非法的,所以得加上<![CDATA[]]>)
2.XMLDecoder
–cve-2017-3506与10271他们的漏洞原理是一样的,只不过10271绕过了3506的补丁,CVE-2017-3506的补丁加了验证函数,验证Payload中的节点是否存在object Tag
3.wls-wsat远程代码执行
–此漏洞实际上是CVE-2017-10271的又一入口,CVE-2017-3506的补丁过滤了object;CVE-2017-10271的补丁过滤了new,method标签,且void后面只能跟index,array后面只能跟byte类型的class;CVE-2019-2725的补丁过滤了class,限制了array标签中的byte长度。
4.T3协议命令执行
–远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机制的缺陷,通过 JRMP 协议(Java Remote Messaging Protocol:java远程消息交换协议)达到执行任意反序列化 payload 的目的。
未授权访问:
1.Web Service Test Page
–Weblogic Web Service Test Page中有两个未授权页面,可以上传任意文件
2.Console HTTP协议远程代码执行
–CVE-2020-14883:允许未授权的用户通过目录穿越结合双重URL编码的方式来绕过管理控制台的权限验证访问后台。
–CVE-2020-14882:允许后台任意用户通过HTTP协议执行任意命令。
3.war后门文件部署
–同样后台存在弱口令登录
1499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
