赞
踩
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,
在服务端对rememberMe的Cookie值先base64解码然后AES解密再反序列化
序列化:序列化=》使用密钥进行AES加密=》base64加密
反序列化:base64解密=》使用密钥进行AES解密=》反序列化
因为默认密钥是开源的,如果使用默认密钥则可通过构造恶意代码进行反序列化攻击
1.war后门文件部署
由于WebLogic后台存在弱口令,可直接登陆后台上传包含后门的war包
2.反序列化漏洞
weblogic在利用T3协议加载资源调用时默认使用黑名单过滤来保证反序列化的安全,,通过T3协议发送恶意构造的代码可以成功绕过黑名单,造成远程代码执行
流量特征: T3协议流量特征 含有fileoutstream字段
3.任意文件上传
通过访问config.do配置页面,先更改Work Home工作目录,
用有效的WebLogic Web路径替换存储JKS Keystores的文件目录,
之后使用”添加Keystore设置”的功能,可上传恶意的JSP脚本文件
1.反序列化漏洞 5.x 6.x
在JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下,
尝试将来自客户端的序列化数据流进行反序列化,导致任意代码执行。
2.war后门文件部署
由于后台存在弱口令,可直接登陆后台上传包含后门的war包
1.在类中使用了json.parse()反序列化了恶意代码造成了任意代码执行
流量特征: json autotype
2.防御
默认不开启autotype功能
只调用缓存中的类
1.war后门文件部署 tomcat/tomcat
由于后台存在弱口令,可直接登陆后台上传包含后门的war包
2.任意文件写入 7.0.0-7.0.79
条件:Tomcat 运行在Windows 主机上,且启用了 HTTP PUT 请求方法 web.xml中readOnly属性为false
通过构造特殊后缀名,绕过了 tomcat 检测,让它用 DefaultServlet 的逻辑去处理请求,从而上传 jsp 文件
形式:
1.jsp/
1.jsp%20
从右往左解析,不认识会继续找下一个
形式:
1.php.123.111
1.目录解析
形式:www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp,.asa目录下的文件都解析成asp文件。
2.文件解析
形式:www.xxx.com/xx.asp;.jpg
原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。
3.PUT漏洞
在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传
因为Nginx只要一看URL中路径名以.php结尾,便不管该文件是否存在,直接交给php处理
形式:
/test.jpg/test.php test.jpg为恶意代码
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。