jsp相关漏洞
ST2漏洞
反序列漏洞
其他漏洞
Struts2漏洞
struts是Apache基金会Jakarta项目组的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的ModelView-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品.目前,Struts广泛应用于大型互联网企业,政府,金融机构等网站建设,并作为网站开发的底层模板使用,是应用最广泛的Web应用框架之一.
漏洞挖掘:
单个目标站进行测试:
工具爬行
找到存在漏洞地址reg:
xx.action
用相关工具进行测试即可.
XAMPP Control Panel v3.2.2
漏洞利用->K8->先漏洞探测->再执行命令
net user guest /acitve:yes
ftp,远程木马
oa do一般都是java编写的,一般去主页里的其它网址
正方教务一般都是aspx,oa一般指向action
admin admin
批量扫描action:
信息收集->url采集->导入->struts2
Struts2漏洞应用工具批量验证
Sta2-045.py脚本,将url复制到字典里面
需要手动导,方式:安装pip,然后install
from poster.encode import multipart_encode
from poster.streaminghttp import register_openers
cmd->Sta2.045.py 3.txt whoami
java反序列漏洞
2015年的1月28日,Gabriel Lawrence(@gebl)和Chris Frohosff(@frohoff)在AppSecCali上给出了一个报告,报告汇总介绍了java反序列化漏洞可以利用Apache Commons Collections这个常用的java库来实现任意代码执行,当时并没有引起太大的关注.
2015年11月6月,FoxGlove Security安全团队的@breenmachine发布的一篇博客中介绍了如何利用java反序列化漏洞,来攻击最新版的WebLogic,WebSphere,JBoss,Jenkins,OpenNMS这些java应用,实现远程代码执行.(web中间件,类似tomcat)
java反序列化漏洞简介:
序列化就是把对象转换成字节流,便于保存在内存,文件,数据库中;反序列化即逆过程,由字节流还原成对象.java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化.
其它漏洞:(中间件)
tomcat部署漏洞:
访问tomcat manager页面
尝试弱口令爆破
登录管理页面
部署war文件
得到shell
java反序列化终极测试工具: By STG-6哥
探测->url
密码攻击->Apache
在apache首页下面有一个war部署,
webshell->大马->jsp->war上传
点进去登录访问.
weblogic攻击
批量扫描WebLogic缺省的WEB管理端口(http为7001,https为7002),开放这两个端口的一般都是安装有WebLogic的主机
2.Google搜索关键字"WebLogic Server Administration Console inurl:console",URL后面是console结尾的,一般为目标.
在找到的目标url后面加上console,回车就会自动跳转到管理登录页面
尝试若口令登录:
1.用户名密码均为:weblogic
2.用户名密码均为:system
3.用户名密码均为 :portaladmin
4.用户名密码均为:guest
登录后找到"mydomain"->"Deployments"->"Web Application Modules"->"Deploy new Web Application Module..."
再点里面的"upload your file(s)",在跳转后的页面上传war包(war包和Tomact弱口令利用的包一样,注意马的免杀即可)
tomact是manager文件夹,weblogic是console文件夹
其他漏洞详解:
越权漏洞
逻辑漏洞
其他漏洞
越权漏洞:
类型划分:
水平越权
水平越权是指同等权限级别的越权
纵向越权
纵向越权是指不同等权限级别的越权
越权漏洞挖掘:
漏洞出现点:
数据交互的地方
用户可操作的地方
参数可控制的地方
越权挖掘实例
密码修改越权
Metinfo4这个版本存在越权漏洞
抓登录后的修改个人信息数据包
将useid=''改成另一个用户名,就会在另一个用户那边修改成功
也可以将密码重设提交
逻辑漏洞:
逻辑漏洞分类
逻辑密码找回
逻辑支付漏洞
莱趣商城
微信手机话费充值,用嗅探欺骗->fidder,或者burp
burp添加一个代理,指定一个ip地址,,192.168.0.102
有选项,能抓https,有证书加密的,没法利用
挖掘:
漏洞出现点
数据交互的地方
用户可操作的地方
参数可控制的地方
SSRF(Server-Side Request Forgery):服务器端请求伪造:
SSRF:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制.比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等.
漏洞产生:
用户在地址栏输入网址->向目标网站发送请求->目标网站接受请求并在服务器端验证请求是否合法,然后返回用户所需要的页面->用户接收页面并在浏览器中显示
此处的请求默认为www.xxx.com/a.php?image=(地址)
那么产生SSRF漏洞的环节在哪里呢?目标网站接受请求后在服务器端验证请求是否合法
产生的原因:服务器端的验证并没有对其请求获取图片的参数(image=)做出严格的过滤以及限制,导致可以从其他服务器的获取一定量的数据
reg:
www.xxx.com/a.php?image=http://www.abc.com/1.jpg
如果我们将http://www.abc.com/1.jpg换为与该服务器相连的内网服务器地址会产生什么效果呢?
如果存在该内网地址就会返回1xx2xx之类的状态码,不存在就会其他的状态码
终极简析:SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有发现在这个请求是合法的,然后服务器以他的身份来访问其他服务器的资源.
SSRF漏洞的寻找(漏洞常见出没位置):
1)分享:通过URL地址分享网页内容
2)转码服务
3)在线翻译
4)图片加载与下载:通过URL地址加载或下载图片
5)图片,文章收藏功能
6)未公开的api实现以及其他调用URL的功能
7)从URL关键字中寻找
share wap url link src source target u 3g display sourceURI imageURL domain
漏洞验证:
1)因为SSRF漏洞是构造服务器发送请求的安全漏洞,所以我们就可以通过抓包分析发送的请求是否是由服务器的发送的来判断是否存在SSRF漏洞.
2)在页面源码中查找访问的资源地址,如果该资源地址类型为http://www.xxx.com/a.php?image=(地址)的就可能存在SSRF漏洞
www.cracer.com/a.php?image=http://192.168.0.000:22来探测22端口是否开放