中间件漏洞总结

一、IIS

1.iis6.0解析漏洞

该版本默认将*.asp;.jpg此类格式的文件名,当成asp解析,服务器默认;后面的内容不解析,相当于截断,例如上传asp木马,就可以用xx.asp;.jpg来绕过;iis除了会将asp解析成脚本执行文件之外,还会将 cer cdx asa扩展名解析成asp
防御方法:
1.禁止上传和创建此类畸形文件
2.图片存放目录设置为禁止脚本执行

2.iis6 PUT漏洞

IIS Server在web中开启了webDAV 配置了可以写入的权限,造成了任意文件上传。
防御方法:
1.关闭webDAV
2.关闭写入权限

3.iis7.x解析漏洞

iis7.x版本在Fast-CGI运行模式下,在任意文件,例如:a.jpg/png后面加上/.php,会将.jpg/png解析为php文件。

CGI:外部应用程序与WEB服务器之间的接口标准
FastCGI:同 CGI,是一种通信协议,但比 CGI 在效率上做了一些优化


防御方法:
配置 cgi fix_pathinfo(php inil中)为0并重启php-cgi程序

4.iis短文件漏洞

IIS的短文件名机制,可以暴力破解文件名。访问构造某个存在的短文件,会返回404,访问构造某个不存在的短文件,会返回400。使用payload验证目标是否存在短文件漏洞,显示404时,说明存在短文件。

http://upload.moonteam.com/~1/a.aspx

注:* 可以匹配n个字符, n可以为0
防御方法:
1、升级.net framework
2、修改注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem修改NtfsDisable8dot3NameCreation为1。修改完成后,需要重启系统生效。
命令行关闭 fsutil behavior set disable8dot3

二、Apache

1.未知拓展名解析漏洞

apache默认一个文件可以有多个以点切割的后缀,当最右的后缀无法识别时,就继续向左识别,直到识别到合法后缀才开始解析,如xxx.php.qqq,qqq无法识别,就继续解析,到php时能够识别,就解析为php文件,

2.换行解析漏洞

apache换行解析漏洞(CVE-2017-15715)

其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
防御方法:
将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行

3.apache ssi 远程命令执行漏洞

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用 语法执行命令。

使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

上传一个shell.shtml 内容

上传成功

然后去访问就可以得到结果了

三、Tomcat中间件

1.Tomcat弱口令&war远程部署

Tomcat存在后台管理,账号密码设置在conf/tomcat-users.xml

可能存在的安全问题:弱口令或爆破(爆破采用数据包base64传递认证)
这里先把我们的shell.jsp在本地打包成zip,然后重命名为war,之后上传war,它会自动解压,从而getshell

四、nginx中间件

IS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞

在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg,内容为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的文件,然后访问wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

或者直接访问wooyun.jpg/.php,就会被以PHP方式解析
原理:
nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在 Nginx配置文件中

通过正则匹配设置 SCRIPT_FILENAME。

当访可http://192.1681.103/ phpinfo. jpg/1.php这个URL时

$fastcgi_script_name会被设置为 “phpinfo.jpg/1.php”,然后构造成

SCRIPT_FILENAME传递给 PHP CGI,如果PHP中开启了 fix_pathing这个选项

PHP会认为 SCRIPT_FILENAME是 phpinfo.jpg,而1.php是 PATH_INFO,所以就

会将 phpinfo.jpg作为PHP文件来解析了。
防御方法:
方案一:修改php.ini,设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用,

方案二:在nginx的配置文件添加如下内容后重启:1992。

    该匹配会影响类似http://www.domain.com/software/5.0/test.php(5.0为目录),http://www.domain.com/goto.php/phpwind 的URL访问。

方案三:对于存储图片的location{…},或虚拟主机server{…},只允许纯静态访问,不配置PHP访问。

五、JBoss中间件

1.JMX Console未授权访问Getshell

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能
防御方法:
1.升级jboss
2.关闭jmx-console和web-console,提高安全性

2.JBoss 5.x/6.x 反序列化命令执行漏洞(CVE-2017-12149)

该漏洞出现在/invoker/readonly中 ,服务器将用户post请求内容进行反序列化用工具来验证,在验证之前我们可以访问路径进行初步判断url://invoker/readonly,看服务器返回情况如下则说明漏洞存在
修复:升级新版本,删除 http-invoker.sar 组件。

六、weblogic中间件

1.弱口令

原理:在weblogic搭建好之后没有修改进入后台的密码导致弱口令登录获得webshell
访问http://192.168.1.10:7001/console
这里注意一下不能使用bp抓包去爆破,错误密码5次之后就会自动锁定,这里使用weblogic/Oracle@123登陆后台

2.WebLogic 未授权访问漏洞(CVE-2018-2894)

在ws-testpage-impl.jar/com.oracle.webservices.testclient.ws.res.WebserviceResource 类中存在importWsTestConfig方法
跟进 RSdataHelper的convertFormDataMultiPart方法,接下来调用convertFormDataMultiPart方法,文件直接由字段 文件名拼接而成,没有任何限制。

ws-testpage-impl.jar!/com/oracle/webservices/testclient/ws/util/RSDataHelper.class:164

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值