[PHP知识库]中间件漏洞总结

一、IIS

1.iis6.0解析漏洞

该版本默认将*.asp;.jpg此类格式的文件名，当成asp解析，服务器默认；后面的内容不解析，相当于截断，例如上传asp木马，就可以用xx.asp;.jpg来绕过；iis除了会将asp解析成脚本执行文件之外，还会将 cer cdx asa扩展名解析成asp
防御方法：
1.禁止上传和创建此类畸形文件
2.图片存放目录设置为禁止脚本执行

2.iis6 PUT漏洞

IIS Server在web中开启了webDAV 配置了可以写入的权限，造成了任意文件上传。
防御方法：
1.关闭webDAV
2.关闭写入权限

3.iis7.x解析漏洞

iis7.x版本在Fast-CGI运行模式下，在任意文件，例如：a.jpg/png后面加上/.php,会将.jpg/png解析为php文件。

CGI:外部应用程序与WEB服务器之间的接口标准
FastCGI：同 CGI，是一种通信协议，但比 CGI 在效率上做了一些优化

。
防御方法：
配置 cgi fix_pathinfo（php inil中）为0并重启php-cgi程序

4.iis短文件漏洞

IIS的短文件名机制，可以暴力破解文件名。访问构造某个存在的短文件，会返回404，访问构造某个不存在的短文件，会返回400。使用payload验证目标是否存在短文件漏洞，显示404时，说明存在短文件。

http://upload.moonteam.com/~1/a.aspx

注：* 可以匹配n个字符, n可以为0
防御方法：
1、升级.net framework
2、修改注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem修改NtfsDisable8dot3NameCreation为1。修改完成后,需要重启系统生效。
命令行关闭 fsutil behavior set disable8dot3

二、Apache

1.未知拓展名解析漏洞

apache默认一个文件可以有多个以点切割的后缀，当最右的后缀无法识别时，就继续向左识别，直到识别到合法后缀才开始解析，如xxx.php.qqq，qqq无法识别，就继续解析，到php时能够识别，就解析为php文件，

2.换行解析漏洞

apache换行解析漏洞（CVE-2017-15715）

其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。
防御方法：
将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行

3.apache ssi 远程命令执行漏洞

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用 语法执行命令。

使用SSI(Server Side Include)的html文件扩展名，SSI（Server Side Include)，通常称为"服务器端嵌入"或者叫"服务器端包含"，是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

上传一个shell.shtml 内容

上传成功

然后去访问就可以得到结果了

三、Tomcat中间件

1.Tomcat弱口令&war远程部署

Tomcat存在后台管理，账号密码设置在conf/tomcat-users.xml

可能存在的安全问题：弱口令或爆破(爆破采用数据包base64传递认证)
这里先把我们的shell.jsp在本地打包成zip，然后重命名为war，之后上传war，它会自动解压，从而getshell

四、nginx中间件

IS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞

在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg，内容为

的文件，然后访问wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

或者直接访问wooyun.jpg/.php,就会被以PHP方式解析
原理：
nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在 Nginx配置文件中

通过正则匹配设置 SCRIPT_FILENAME。

当访可http://192.1681.103/ phpinfo. jpg/1.php这个URL时

$fastcgi_script_name会被设置为 “phpinfo.jpg/1.php”,然后构造成

SCRIPT_FILENAME传递给 PHP CGI,如果PHP中开启了 fix_pathing这个选项

PHP会认为 SCRIPT_FILENAME是 phpinfo.jpg,而1.php是 PATH_INFO,所以就

会将 phpinfo.jpg作为PHP文件来解析了。
防御方法：
方案一：修改php.ini，设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用，

方案二：在nginx的配置文件添加如下内容后重启：1992。

    该匹配会影响类似http://www.domain.com/software/5.0/test.php（5.0为目录），http://www.domain.com/goto.php/phpwind 的URL访问。

方案三：对于存储图片的location{…}，或虚拟主机server{…}，只允许纯静态访问，不配置PHP访问。

五、JBoss中间件

1.JMX Console未授权访问Getshell

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进?到jmx控制台，并在其中执?任何功能
防御方法：
1.升级jboss
2.关闭jmx-console和web-console，提高安全性

2.JBoss 5.x/6.x 反序列化命令执行漏洞（CVE-2017-12149）

该漏洞出现在/invoker/readonly中 ，服务器将用户post请求内容进行反序列化用工具来验证，在验证之前我们可以访问路径进行初步判断url://invoker/readonly,看服务器返回情况如下则说明漏洞存在
修复：升级新版本，删除 http-invoker.sar 组件。

六、weblogic中间件

1.弱口令

原理：在weblogic搭建好之后没有修改进入后台的密码导致弱口令登录获得webshell
访问http://192.168.1.10:7001/console
这里注意一下不能使用bp抓包去爆破，错误密码5次之后就会自动锁定，这里使用weblogic/Oracle@123登陆后台

2.WebLogic 未授权访问漏洞(CVE-2018-2894)

在ws-testpage-impl.jar/com.oracle.webservices.testclient.ws.res.WebserviceResource 类中存在importWsTestConfig方法
跟进 RSdataHelper的convertFormDataMultiPart方法，接下来调用convertFormDataMultiPart方法，文件直接由字段 文件名拼接而成，没有任何限制。

ws-testpage-impl.jar!/com/oracle/webservices/testclient/ws/util/RSDataHelper.class:164