0x00 Web中間件概述
通俗來說,中間件是提供系統軟件和應用軟件之間連接的軟件,以便於軟件各部件之間的溝通。Apache的Tomcat、IBM公司的WebSphere、BEA公司的WebLogic、Kingdee公司的Apusic都屬於中間件。中間件技術已經不局限於應用服務器、數據庫服務器。圍繞中間件,在商業中間件及信息化市場主要存在微軟陣營、Java陣營、開源陣營。
本文主要討論關於web中間件的漏洞。
0x01 IIS實驗
1.1 端口修改
將80修改為8080
驗證
1.2 IP地址綁定
將unsigend改為dhcp到的ip
1.3 新建index.html
index.html 顯示效果:
1.4 開啟目錄瀏覽
開啟前:
開啟后:
1.5 默認啟用頁面,例如a.html
文件目錄結構:
啟用后:
1.6 去掉匿名驗證
去掉后訪問時:
輸入用戶名密碼后訪問成功:
1.7 限制ip
限制規則:
限制后:
0x02 IIS解析漏洞
Web容器解析漏洞會將其他格式的文件,都當做該腳本語言的文件進行解析,執行里面的代碼。
一般解析漏洞都是配合文件上傳的功能一起進行利用。
例如,在parse_vul目錄下新建a.asp,內容為:
訪問此文件:
2.1 文件名解析
分號;截斷
.asa 后綴
.cer 后綴
2.2 文件夾解析
帶有.asp 字符串的目錄
0x03 IIS put上傳實驗
題目鏈接 http://host.name/index/Topology/?id=162&name=course
3.1 利用Burp抓包
3.2 修改請求方法為OPTIONS
發現開啟WebDAV,支持PUT方法
3.3 PUT 一句話asp馬
失敗
3.3 PUT 后綴為.txt 的一句話asp馬
成功
3.4 MOVE 修改文件名
成功
3.5 上菜刀
bingo!
0x04 Apache實驗
4.1 修改端口8080
4.2 修改網站默認路徑
更改
效果
0x05 Apache解析漏洞
題目鏈接 http://host.name/index/Topology/?id=75&name=course
Apache在解析一個文件時,會從文件的右邊開始解析,直到遇到一個可以識別的后綴,則停止解析。實驗中的文件“2.php.rea”就會被解析為php文件。而在網頁上傳文件時,文件類型的判別是從文件的右邊開始,“2.php.rea”就會被認為是rea文件(雖然這並不是一個正常的后綴名);如果網站是通過設置黑名單來判斷能否上傳文件,那么黑客就能利用這個漏洞上傳一個木馬到網站目錄下。
0x06 Tomcat弱口令實驗
題目鏈接 http://host.name/index/Topology/?id=153&name=course
6.1 打開tomcat
6.2. 打開www.any.com/manager/html
6.3.輸入 用戶名tomacat 密碼tomcat 發現弱口令可以登錄
6.4.上傳war
上傳成功
6.5.驗證
6.6成功
0x07 總結
綜上,當中間件配置不好時,很容易被攻擊者利用,因此在部署中間件時,要遵循最小原則,用不到的功能全部關閉,如webDAV,這是運維人員的責任,同時也是開發人員需要注意的地方。加固參考以下幾點:
- 如果將項目上線到生產環境測試,需要注意修改iis端口,同時修改DocumentRoot路徑,例如將www改成www_JhUAQlja,防止sqlmap猜解
- Apache服務器配置規則過濾掉含.php的路徑請求
- 口令一定要復雜,並定期更換
- 服務器軟件保持更新,因升級需要成本就放棄升級,是不負責任的表現