网络安全之常见web中间件漏洞 常见的web中间件

1.iis6.0 put上传

iis server 在web服务扩展中开启了webdav，配置了可以写入的权限，导致任意文件上传

2.iis6.0 ,iis7.0（iis7.5） 解析漏洞(可配合文件上传白名单限制)

iis6.0(分号截断) 例如上传asp木马 可以通过 x.asp;.jpg来绕过

iis6.0(在以*.asp命名的文件夹下所有的文件都会被解析成asp文件) 例如我们可以控制上传文件夹，

就可以绕过限制image.asp/x.jpg x.jpg被解析成asp

iis7.0或iis7.5在使FastCGI方式调用php时，在php.ini里设置cgi.fix_pathinfo=1URL时，在URL后面

添加“/x.php”等字符时，该文件被iis当php文件代码解析

3.iis短文件解析

此漏洞实际是由HTTP请求中的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文

件夹名称。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息

原理：IIS的短文件名机制,可以暴力拆解短文件名,访问构造的某个存在的短文件名,会返回404,访问构

造的某个不存在的短文件名,返回400。

4.HTTP.SYS远程代码执行 MS15-034 导致系统蓝屏或者崩溃

远程攻击者可以通过IIS7(或更高版本)服务将恶意的HTTP请求传递给HTTP.sys驱动，通过发送恶意的

HTTP请求导致远程代码执行或操作系统蓝屏。 Windows 7 、 Windows Server 2008 R2 、 Windows

8 、 Windows Server 2012 、 Windows 8.1 和 Windows Server 2012 R2等

5.RCE&CVE-2017-7269-Win2003_IIS6-直接获取WEB权限（只适用于iis6.0）

6.apache多后缀名解析漏洞(可配合文件上传白名单限制)

如果在apache中设置addhandler application/x-httpd-php .php（分布式配置文件）那么，在有多个

后缀的情况下，只要一个文件含有.php后缀的文件即将被识别成PHP文件，不一定是最后一个后缀。利

用这个特性，将会造成一个可以绕过上传白名单的解析漏洞

7.apache换行解析漏洞（CVE-2017-15715）

其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致

绕过一些服务器的安全策略。

8.Apache SSI 远程命令执行漏洞

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命

令。

使用SSI(Server Side Include)的html文件扩展名，SSI（Server Side Include)，通常称为"服务器端

嵌入"或者叫"服务器端包含"，是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是

.stm、.shtm 和 .shtml

9.JBoss 5.x/6.x 反序列化漏洞复现（CVE-2017-12149）

该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter

过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而

导致了漏洞。

影响：Jboss 5.x和 Jboss 6.x

检测：/invoker/readonly 若显示HTTP status 500，则说明漏洞可能存在

利用(简单粗暴，不优雅。)：Jboss反序列化_CVE-2017-12149.jar

修复：升级版本或不需要的http-invoker.sar组件,删除此组件

下载：https://github.com/yunxu1/jboss-_CVE-2017-12149

9.1

JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)

影响：Jboss 4.X

检测：/invoker/JMXInvokerServlet访问若提示下载，则可能存在漏洞。

利用：Jboss反序列化_CVE-2017-12149.jar

修复：升级版本

9.2

案例2-JBoos-弱口令安全-4.X&5.X&6.X

Jboss4.x及其之前的版本 console 管理路径为/jmx-console/和/web-console/，密码存

储：/opt/jboss/jboss4/server/default/conf/props/jmx-console-users.properties

Jboss5.x开始弃用了 web-console ，增加了admin-console，

Jboss5.x/6.x版本console路径为/jmx-console/和/admin-console/，

密码存储：jboss/server/default/conf/props/jmx-console-users.properties

9.3

JBoos 4.X 弱口令管理后台部署war包getshell

CVE-2017-7504启动环境 弱口令：admin/admin

a、访问：/jmx-console/HtmlAdaptor?

action=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL

b、生成war包部署自己服务器上：http://test.xiaodi8.com/one.war

c、找到void addURL()，在ParamValue填入我们远程的war包，点击invoke

d、提示成功后，访问/one/one.jsp触发后门

9.4

JBoos 5/6.X 弱口令管理后台部署war包getshell

CVE-2017-12149启动环境 弱口令：admin/vulhub

a、Applications->Web Application (WAR)s->Add a new resource

b、生成war包，上传，确定

c、确定添加后，访问/one/one.jsp触发后门

9.5

Nginx解析漏洞( 该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞)

由于nginx.conf配置导致nginx把以’.php’结尾的文件交给fastcgi处理

9.6

Nginx文件名逻辑漏洞 CVE-2013-4547:

而存在CVE-2013-4547的情况下，我们请求`1.gif[0x20][0x00].php`，这个URI可以匹配上正则`\.php