1、中间件常见漏洞的利用
1)IIS6 畸形文件解析“/1.asp/1.xxx”或者“1.asp;.xxx”。IIS7.0/IIS7.5/Nginx 在默认Fast-CGI开启下会将/xx.jpg/xx.php 解析为php,将木马后缀改为.jpg格式,上传成功后在上传url后面加上/xx.php;
PUT漏洞 IIS6.0版本,在IIS Server Web服务扩展中开启了WebDAV,配置了可以写入的权限(工具:IISPutScanner);
远程代码执行 在IIS6.0处理PROPFIND指令的时对于url的长度没有进行控制和检测,导致memcpy对虚拟路径构造时引发栈溢出,最终导致远程代码执行(本地执行exp);
短文件名猜解 IIS6
2)Apache畸形文件解析“1.php.jpeg”Apache的解析规则为从后往前找后缀,看是否能解析;
目录遍历 由于配置错误而导致目录遍历。
3)Nginx解析漏洞 会将一个是对任意文件名,在后面添加”/任意文件名.php”进行解析,比如原本文件名是test.jpg,可以添加为test.jpg/x.php进行解析攻击;
目录遍历 配置问题所导致(修复: 将 /etc/nginx/sites-avaliable/default 里的 autoindex on 改为 autoindex off);
目录穿越 Nginx反向代理,静态文件存储在/home/下,而访问时需要 在url中输入files,配置文件中/files 没有用/闭合,导致可以穿越至上层目录(修复: Nginx 的配置文件 /etc/nginx/conf.d/error2.conf 的 /files 使用 / 闭合);
CRLF注入 通过控制 HTTP 消息头中的字符,注入一些恶意的换行,就能注入一些会话 cookie 或者 html 代码,由于 Nginx 配置不正确,导致注入的代码会被执行。
4)Tomcat 远程代码执行 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法,可通过构造的攻击请求向服务器上传包含任意代码的 JSP文件,造成任意代码执行(影响版本:Apache Tomcat 7.0.0 – 7.0.81);
war后门文件部署 利用弱口令或暴力破解进去后台管理页面,上传war包
5)JBoss 反序列化漏洞 jBoss 是一个基于 J2EE 的开发源代码的应用服务器。JBoss 代码遵循 LGPL 许可,可以在任何商业应用中免费使用。JBoss 是一个管理 EJB 的容器和服务器,支持 EJB1.1、EJB 2.0 和 EJB3 的规范。但 JBoss 核心服务不包括支持 servlet/JSP 的 WEB 容器,一般与 Tomcat 或 Jetty 绑定使用;Java 序列化,简而言之就是把 java 对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为 java 对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致恶意构造的代码的实现。
访问 /invoker/readonly 返回 500,说明此页面有反序列化漏洞
war后门文件部署 后台界面存在弱口令或暴力破解进去管理界面,直接上传包含后门的war包
6)WebLogic 反序列化 ;
SSRF 利用该漏洞可以发送任意 HTTP 请求,进而攻击内网中 redis、fastcgi 等脆弱组(/uddiexplorer/SearchPublicRegistries.jsp);
任意上传 通过访问 config.do 配置页面,先更改 Work Home 工作目录,用有效的已部署的 Web 应用目录替换默认的存储 JKS Keystores 文件的目录,之后使用”添加 Keystore 设置”的功能,可上传恶意的 JSP 脚本文件;
war 后门文件部署
2、其他漏洞利用
1)Resin 任意文件下载
2)Websphere6-7用户标识认证
3)管理控制台弱口令
4)FastCGI 未授权访问;任意文件执行
5)PHPCGI 远程代码执行