滲透測試學習 二十一、 JSP相關漏洞

大綱

ST2漏洞  （Struts2）

反序列漏洞              網站容器，中間鍵

其他漏洞

 

Struts2漏洞

簡介： Struts2是一個基於MVC設計模式的Web應用框架，它本質上相當於一個servlet，在MVC設計模式中，Struts2作為控制器(Controller)來建立模型與視圖的數據交互。Struts 2是Struts的下一代產品，是在 struts 1和WebWork的技術基礎上進行了合並的全新的Struts 2框架。其全新的Struts 2的體系結構與Struts 1的體系結構差別巨大。Struts 2以WebWork為核心，采用攔截器的機制來處理用戶的請求，這樣的設計也使得業務邏輯控制器能夠與ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產品。雖然從Struts 1到Struts 2有着太大的變化，但是相對於WebWork，Struts 2的變化很小。（百度百科）

（注：.do或.action可能存在該框架）

 

漏洞挖掘

         單個目標站進行測試

         工具爬行

         找到存在漏洞的地址，例如：xx.action，用相關的工具進行測試

         一般存在於登錄，注冊，留言，提交數據，進行數據交互的地方等

　　（一般使用的工具是k8_struts2_EXP.exe）

 

 批量查找利用

　　URL采集相關關鍵字　　site:xx.com inurl:.action

 

Java反序列化漏洞

簡介：序列化就是把對象轉換成字節流，便於保存在內存，文件，數據庫中；反序列化即逆過程，由字節流還原成對象。Java中的objectoutputstream類的writeobject()方法可以實現序列化，類objectinputstream類的readobject()方法用於法序列化。

工具

         Java反序列化終極測試工具 –powered by STG-G哥

 

其他漏洞

         Tomcat部署漏洞

         訪問Tomcat manager頁面

         嘗試弱口令爆破，工具：伊美式Apache Tomcat http://yimeishi.icoc.cc

         登錄管理界面

         部署war文件

         getshell

 

weblogic攻擊

         批量掃描weblogic缺省的web管理端口（http為7001，https為7002），開放這些端口的一般都是有安裝weblogic的。

         Google搜索關鍵字“weblogic server administrator console inurl:console”URL后面是console結尾的一般為目標。

         在找到的目標URL后面加上console，回車后自動跳到管理登錄界面

         嘗試弱口令

         用戶名，密碼：weblogic，weblogic；system，system；portaladmin，portaladmin；guest，guest

         登錄后找到“mydomain”->“deployments”->“web application modules”->“deploy new web application mondule”

         再點“upload your file(s)”，在跳轉后的頁面上傳war包

 

其他漏洞詳解

         越權漏洞

         邏輯漏洞

         其他漏洞

 

越權漏洞

         水平越權

                   水平越權是指同等權限級別越權

         縱向越權

                   縱向越權是指不同等級權限級別越權

 

越權漏洞挖掘

         漏洞出現點：一般在網商，網點等

         數據交互的地方

         用戶可操作的地方

         參數可控制的地方

 

示例：metinfo 4.0@2008-2018

         會員中心

         修改資料

         抓包

         將用戶名改為另一個用戶的名字->會修改另一個用戶的信息

（同樣可以修改管理員的密碼-縱向越權）

 

邏輯漏洞挖掘

         邏輯漏洞分類

         邏輯密碼找回->在填寫手機號后抓包，改包->發送

         邏輯支付漏洞->（支付金額，購買數量）抓報，改包

         邏輯登錄->修改響應包，抓報-do intercept->response to thisrequest->forward

 

SSRF（Serve-Side Request Forgery：服務器端請求偽造）

         SSRF是一種由攻擊者構造形成有服務器端發起請求的安全漏洞，一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統（正是因為它由服務端發起的，所以它能夠請求到與它相連接與外網隔絕的內部系統）

         SSRF形成的原因大部分是由於服務器端提供了從其他服務器應用獲取數據的功能，且沒有對目標地址進行過濾和限制，比如從指定URL地址獲取網頁文本內容，加載指定地址的圖片，下載等

 

漏洞產生

         用戶在地址欄輸入網址->向目標網站發送請求->目標網站接收請求並在服務器端驗證請求是否合法，然后返回用戶所需要的頁面->用戶接收頁面並在瀏覽器中顯示

         產生漏洞的環節：目標網站接受請求后在服務器端驗證請求是否合法

         產生的原因：服務器端的驗證並沒有對齊請求獲取圖片的參數（image=）做出嚴格的過濾以及限制，導致可以從其他服務器獲取一定量的數據。

例如：

         www.xx.com/a,asp?image=http://www.abc.com/1,jpg

         如果將http://abc.com/1.jpg換成與該服務器相連的內網服務器地址會產生的效果：

         如果存在該內網地址就會返回1xx，2xx之類的狀態碼，不存在就會是其他的狀態碼。

         簡析：SSRF漏洞就是通過篡改獲取資源的請求，發送給服務器，但是服務器並沒有發現這個請求是不合法的，然后服務器以他的身份來訪問其他服務器的資源。

         SSRF漏洞的尋找

         1.分享，通過URL地址分享網頁的內容

         2.轉碼與服務

         3.在線翻譯

         4.圖片加載與下載：通過URL地址加載或下載圖片

         5.圖片，文章收藏功能

         6.未公開的api實現以及其他調用URL的功能

         7.從URL中關鍵字尋找

                  share        wap           url              link            src             source               target

                   u                ig               display               sourceurl          imageurl           domain