middleware

中间件
Word count: 1k   |   Reading time≈ 4 min

Weblogic

默认端口:7001

部分历史漏洞

1
2
3
4
5
6
7
1. 弱口令/任意文件读取+后台war包/任意文件上传getshell
2. CVE-2017-20271
3. CVE-2018-2628
4. CVE-2019-2725
5. CVE-2020-2555
6. CVE-2021-2394

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势。

weblogic是java EE的应用服务器(application server),包括ejb ,jsp,servlet,jms等等,全能型的。是商业软件里排名第一的容器(JSP、servlet、EJB等),并提供其他如JAVA编辑等工具,是一个综合的开发及运行环境。(收费)

image-20220323214802592

以下环境为vulhub靶场环境

1
git clone https://github.com/vulhub/vulhub.git

弱口令+上传war包

原理

weblogic搭建完后没有修改后台登陆密码/后台登陆为弱口令

复现

启动环境

image-20220324002901248

1
http://192.168.119.165:7001/console       访问后台

image-20220324010752442

weblogic/Oracle@123登陆后台(bp爆破,密码错五次就会禁止认证)

弱口令参考:Default Passwords | CIRT.net

下面要准备war包上传

image-20220324011153236

点上传文件

image-20220324011308204

将jsp马(哥斯拉生成jsp)打包成war包

1
jar -cvf shell.war 1.jsp

image-20220324011818173

然后一直下一步,完成

image-20220324011923927

成功上传

image-20220324012109060

访问:http://192.168.119.165:7001/shell/1.jsp ,shell连接

image-20220324014607221

image-20220324014649096

参考:weblogic漏洞大杂烩 - 先知社区 (aliyun.com)

工具:(https://github.com/0xn0ne/weblogicScanner)

Tomcat

Jboss

  1. jboss/jboss +war上传

Apache

HTTPD 换行解析漏洞

CVE-2017-15715 2.4.0~2.4.29

/phpinfo.php%0a

1
2
3
<FilesMatch \.php$> 
	SetHandler application/x-httpd-php 
</FilesMatch>

$符号不仅匹配字符串结尾位置,也可以匹配\n 或 \r。 导致/phpinfo.php\x0A能够被解析

上传 xxx.php%0a 绕过后缀限制。

访问: xxx.com/phpinfo.php%0a 即可

Nginx

解析漏洞

配置文件错误导致 正常123.jpg 访问时候 .com/123.jpg/xxxxxx.php 123.jpg会以php形式解析

漏洞配置如下

1
2
3
4
5
6
7
8
9
10
server { 
	location ~ \.php$ { 
		root            /work/www/test; 
		fastcgi_index   index.php; 
		fastcgi_param   SCRIPT_FILENAME 
		$document_root  $fastcgi_script_name; 
		include         fastcgi_params; 
		fastcgi_pass    unix:/tmp/php-fpm.sock; 
		} 
}

com/123.jpg/xxxxxx.php 首先PHP fastcgi 进行处理,但找不到xxxxxx.php,

又由于cgi.fix_pathinfo默认是开启的,因此PHP 会继续检查路径中存在的文件,并将

多余的部分当作 PATH_INFO。接着PHP在文件系统中找到.jpg文件,而后以PHP的形式执行.jpg的内容,并将/xxx.php存储在 PATH_INFO 后丢弃

IIs

IIS 6.0 解析漏洞

(*.asp;.jpg *.asp/test.jpg )

  • *.asp;.jpg ,服务器默认不解析;后面的内容。

  • *.asp/目录下的文件被当作asp解析。

IIS7.x 文件解析漏洞

(test.jpg/.php)

  • 在IIS7/7.5 FastCGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
1
原因cgi.fix_pathinfo=1

IIS 6.0 PUT漏洞

  • IIS的 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入(PUT写 webshell)。

短文件名

  • 为了兼容16MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的Windows 8.3短文件名。

​ 左边短文件名 右边文件名

image-20220415203407334

/xxx.xxx.xx.xx/A*~1/xxx

1
当访问构造的某个存在的短文件名,会返回404

/xxx.xxx.xx.xx/AB*~1/xxx

1
当访问构造的某个不存在的短文件名,会返回400;

目前IIS支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。

IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功。

IIS8.0以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE方法也可以猜解成功。

以下通过开启IIS6.0 ASP.NET后进行复现。

(参考网上)

  • Copyrights © 2020-2023 Shmily-ing
  • Visitors: | Views:

请我喝杯咖啡吧~

支付宝
微信