中间件漏洞

IIS服务器漏洞

IIS文件上传漏洞
IIS6.0 PUT上传漏洞是比较经典的ISS漏洞，如果IIS开启了PUT上传方法，就可以利用此方法上传任意文件，因此，该漏洞危害极大。
漏洞产生原因
IIS6.0 PUT上传漏洞产生的原因

1. IIS Server在WEB服务扩展中开启了WebDAV
2. IIS配置了可以写入的权限
   漏洞测试方法
   利用OPTIONS方法测试是否开启了WEBDAV，如果返回DAV信息，说明开启了WebDAV
3. 利用PUT协议上传Webshell。注意，不能直接上传.asp扩展名的文件，需要先上传内容为<% eval request("123")%>的txt文件。服务器返回201 Created，说明文件创建成功。
4. 修改文件扩展名，利用move方法将文件的扩展名由.txt改为.asp:

MOVE /1.txt HTTP/1.1
Host:www.test.com
Destination:http://www.test.com/shell.asp

服务器返回201 Created，说明扩展名修改成功，shell.asp就通过IIS PUT上传漏洞上传到服务器的根目录下，获取了服务器的Webshell。

IIS短文件名枚举漏洞
IIS存在短文件名枚举漏洞，该漏洞通过在GET请求中加入“~”，可以让远程攻击者看到diclose文件和文件夹的名称，找到重要从文件和文件夹，他们通常不是可见的，攻击者在对它们进行深入分析后可以威胁用户的安全。

IIS HTTP.sys漏洞
IIS HTTP.sys的漏洞编号是“CVE-2015-1635,MS15-034,CNNVD-201703-1151”。HTTP.sys。HTTP.sys是一个运用于Windows内核模式下的驱动程序，能够让任何应用程序通过它提供的接口利用HTTP进行通信。由于HTTP.sys会错误地解析某些特殊构造的HTTP请求，因此存在远程代码执行漏洞。远程攻击者可以通过IIS 7.0（或更高版本）服务将恶意的HTTP请求传递给HTTP.sys。成功利用此漏洞可导致IIS系统蓝屏，执行任意代码，甚至使网站遭受网页被篡改、用户信息被泄露以及更严重的攻击风险。
利用curl工具检测漏洞
curl http://192.168.109.132 -H "Host: 192.168.109.132" -H "Range: bytes=0-18446744073709551615"
如果服务器返回Requested Range Not Satisfiable，则说明存在IIS HTTP.sys漏洞。利用MSF：search MS15-034

JBoss服务器漏洞

JBoss是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循GNU都LGPL，可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器，支持EJB 1.1、EJB2.0和EJB3.0的规范。
1. JBoss未授权访问部署木马
JBoss可以通过多种方式部署Web应用程序，常见的部署WEB应用的方式包括JBossWeb Console、JMX Console、JMXInvokerServlet等接口。如果存在接口未授权访问或者弱口令等漏洞，攻击者就可以通过弱口令进入后台，通过部署WAR包的过年，上传木马，获取shell权限。
JMX是Java 1.5中引入的新特性。JMX全称为Java Management Extension，即Java管理扩展，常用于管理线程、内存、日志Level、服务重启、系统环境等。
JMX Console是JBoss JMX的管理程序，可以通过JMX Console方便地对JBoss进行管理。其中jboss.deployment是用来进行应用部署的接口，可以通过jboss.deployment接口的addURL方法部署Web应用程序。

2. JBoss Invoker接口未授权访问远程命令执行
JMX Invoker允许客户端应用程序发送任意协议的JMX请求到服务端。JMX Invoker默认对外开放端口。攻击者可以构造一个恶意的Java序列化MarshalledInvocation对象，然后远程调用MarshalledInvocation可在服务器中执行任意代码。jboss_exploit_fat.jar是JBoss Invoker接口未授权访问远程命令执行漏洞利用程序，通过jboss_exploit_fat.jar是JBoss Invoker可以获取操作系统的基本信息，并且可以部署木马WAR包，远程服务器shell权限。

Tomcat服务器漏洞

1. Tomcat弱口令攻击
Tomcat服务器有后台管理功能，通过后台管理可以上传部署WAR包。如果管理后台存在弱口令，攻击者就可以通过弱口令进入后台，通过部署WAR包的功能上传木马，获取shell权限。
默认的后台管理地址为http://www.xxx.com/manager/html，默认口令为：admin：admin。登录后台，即可部署WAR包的功能上传木马，以获得shell权限

2. Tomcat远程代码执行漏洞
Tomcat远程代码执行漏洞的编号为CVE-2017-12615。在Tomcat配置文件conf/Web.xml中，当readonly设置为false时，可以允许用PUT或者DELETE方法上传或者删除文件。通过上传的JSP文件可以在服务器上执行任意代码。
Tomcat远程代码执行漏洞影响的版本时Apache Tomcat 5.x~9.x。Tomcat配置文件conf/Web.xml默认将readonly参数设置为true，不允许使用PUT、DELETE方法，无法利用Tomcat远程代码执行漏洞。
方法：
PUT上传test.jsp文件
1. 利用空格绕过
PUT /test%20
2. 利用点号绕过
PUT /test.jsp.
3. 利用NTFS ADS流绕过
PUT /test.jsp::$DATA
4. bypass绕过
通过fuzz测试，发现用斜线可以正常创建JSP文件，并且在Windows系统和Linux系统中都有效
PUT /test.jsp/

WebLogic服务器漏洞

WebLogic是美国Oracle公司发布的应用服务器，确切的说是一个基于Java EE架构的中间件。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。它将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理指中。
1. WebLogic弱口令漏洞利用
通过用户名、密码登录控制台后，在控制台进行应用部署。如果控制台存在弱口令，就可以通过弱口令进入控制台，部署木马应用，获取WebLoic服务器的shell权限。