组件安全以及漏洞复现

组件安全

1. 概述

A9:2017-使⽤含有已知漏洞的组件

A06:2021-Vulnerable and Outdated Components

​ 组件（例如：库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。

1.1 常见组件

1.1.1 操作系统

1.1.2 Web 容器

我们简单的认为，只要能够提供Web 服务的应用，就是Web 容器。

1.1.3 中间件

我们简单的认为，编程语言就是中间件。

1.1.4 数据库

1.1.5 开发框架

1.1.6 OA 系统

可以利用OA利用工具Releases · cseroad/Exp-Tools (github.com)

proxychains git clone https://github.com/LittleBear4/OA-EXPTOOL.git 
1

将此工具下载，然后cd到工具目录，安装依赖

python3 -m pip install -r requirements.txt
1

安装依赖后在工具目录下开启工具

python3 scan.py
1

输入？

1.1.7 其他组件

• phpStudy

• 宝塔

• xampp

1.2 漏洞复现

1.2.1 漏洞复现模板

编写渗透测试报告的主要内容：

* 组件_版本_漏洞名称
 	* 漏洞描述
 	* 漏洞评级
 	* 影响版本
	* 漏洞复现
 		* 漏洞扫描
 		* 漏洞验证
		* 深度利用
 		* 命令执行
 		* GetShell
 		* EXP 编写
 	* 漏洞挖掘
 		* 指纹信息
 	* 修复建议
1
2
3
4
5
6
7
8
9
10
11
12
13
14

1.2.2 漏洞名称参考

pocsuite3 漏洞命名规范 类似msf的工具

seebug 漏洞类型规范

1.2.3 漏洞库

exploit-db

seebug 漏洞库

2. Apache

2.1 Apache HTTPD

Vulhub - Apache 2.4.49 路径穿越

Vulhub - Apache 2.4.50 路径穿越

2.1.1 未知后缀名解析

2.1.1.1 环境搭建

打开部署了upload-labs-env的服务器，将upload-labs-env服务打开

2.1.1.2 过程

使用bp浏览器访问部署了upload-labs-env的服务器的IP，

上传1.php文件，使用bp进行抓包，发送重发器

修改文件类型

修改文件后缀名为png，上传成功，修改为xj依旧还是上传成功，由此可知，php源代码中使用的是黑名单。

修改文件内容为phpinfo()和后缀名改为php.xj，

访问上传的文件，phpinfo执行了，因为在低版本的apache中检测处理文件时，会从前到后找后缀名。找到后缀名后从后往前找，首先找到了xj，apache不认识，又往前找找到了php，然后就会将文件内容读取出来交给php执行

2.1.2 多后缀名解析实例

2.1.2.1 环境搭建

2.1.2.2 过程

访问本机IP，上传文件1.php使用bp抓包

结果显示不支持上传文件格式，修改类型然后点击发送

结果还是不支持文件类型，修改后缀名，上传成功，证明php源代码使用的是白名单

文件上传成功，是因为配置问题，产生不安全配置的问题是AddHandler application/x-http-php .php这个配置的意思为，只要文件名中有.php就会当作php文件执行。访问上传文件，使用蚁剑连接

2.1.3 换行解析漏洞

2.1.3.1 环境搭建

因为使用的是bp的浏览器，8080端口被占用，将环境的端口改为80

启动环境

2.1.3.2 过程

上传1.php文件，使用bp抓包，将数据包发送重发器

查看数据包，有文件名，文件类型，文件内容，并且还给了一个evil.php的文件名，

修改文件类型，将evil.php修改为1.php.然后修改十六进制编码形式，将1.php.的右侧的点改为0a，然后点击上传，上传成功

访问上传文件

漏洞原因：1.php\x0a被按照php后缀进行解析，导致绕过一些服务器的安全策略。

2.1.4 apache 路径穿越漏洞

2.1.4.1 环境搭建

2.1.4.2 过程

使用bp自带浏览器访问ip，抓包

访问

icons/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
1

读到了passwd文件

执行命令

cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/bash
1

漏洞原因：是apache2.4.49本身组件的问题，还可以执行命令，相当于shell；2.4.50依然还有这个漏洞，访问

icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd
1

就能读出passwd

2.2 Apache Shiro

2.3 Apache Tomcat

Vulhub - Tomcat-PUT任意写文件漏洞

2.3.1 弱口令

2.3.1.1 环境搭建

2.3.1.2 过程

点击manager app进行登录，tomcat、tomcat

docs是整个web应用的说明书，可以通过web控制台可以对整个tomcat下的web服务做服务管理

将大马war上传

访问上传的war

2.3.2 本地文件包含

2.3.2.1 环境搭建

2.3.2.2 过程

使用tomcat工具CNVD-2020-10487-Tomcat-Ajp-lfi.py扫描

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 容器IP -p 8009 -f WEB-INF/web.xml
1

工具缺点：只能读取ROOT目录下的文件

2.3.3 PUT方法任意写文件漏洞

2.3.3.1 环境搭建

2.3.3.2 过程

使用nuclei扫描漏洞

sudo ./nuclei -u 192.168.16.176 
1

访问扫描工具对应漏洞给出链接，读出passwd

3. Nginx

3.1 Nginx 解析漏洞

特定情况下，可以将图片解析成PHP，为图片木马提供出路。

3.1.1 空字节漏洞

3.1.1.1 环境搭建

将压缩包加压至c盘下

在nginx_0.7.65目录下打开命令行

3.1.1.2 过程

访问Nginx

访问info.png，使用bp抓包，发送重发器

该漏洞叫00截断

php是以C语言写的，C语言字符串结束是00。当Nginx找文件时，看到后缀名是php就会交给php执行。当php解释引擎从前往后扫描文件，当扫描到00结束，读到的文件是info.png文件，但是info.png文件以php方式执行的

3.1.2 背锅解析漏洞

3.1.2.1 环境搭建

3.1.2.2 过程

上传1.php文件，使用bp抓包，发送重发器

修改文件类型、后缀名和文件内容

访问上传文件

漏洞产生原因：php的安全选项有关（cgi-fcgi）

3.2 Nginx 配置缺陷

4. IIS

4.1 IIS 6.0

4.2 IIS 7.0/7.5

IIS 能够解析PHP 脚本。IIS <----FASTCGI----> PHP

IIS 解析漏洞现存与IIS 7.0/7.5版本中，即Windows server 2008和Windows7中

4.2.1 环境搭建

以IIS10.0打开php

php解释是由php引擎和php解释器进行的

点击IIS管理器

4.2.2 漏洞

请求限制在7.0/7.5中默认是不勾选的

重现访问png，在png后加上/.php

4.2.3 漏洞原因