59、服务攻防——中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx

PT_silver2024-03-25 18:09

文章目录

  1. 中间件:IIS、Apache、Nginx、Tomcat、Docker、Weblogic、JBoss、WebSphere、Jenkins
  2. php框架:Laravel、Thinkphp
  3. pythonl框架:Flask
  4. js框架:jQuery
  5. java框架:Struts2、Jira、spring、GlassFish

中间件------IIS漏洞

  • 短文件:信息收集
  • 文件解析:配合文件上传
  • HTTP.SYS:蓝屏崩溃,跟获取权限无关,没啥用
  • CVE-2017-7269:基于windows server 2003、IIS 6.0,利用条件苛刻

中间件------Nginx漏洞

  1. 后缀解析 文件名解析
    配置不当:该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞
    Nginx 文件名逻辑漏洞(CVE-2013-4547)Nginx 解析漏洞复现
  2. CVE-2021-23017 无EXP
  3. CVE-2017-7529 信息泄露

中间件------Apache

  1. CVE-2021-42013------RCE
  2. CVE-2021-41773------目录穿越
    CVE-2021-41773&&CVE-2021-42013复现
  3. CVE-2017-15715------文件解析
    Apache HTTPD 换行解析漏洞(CVE-2017-15715)
  4. CVE-2018-11759 访问控制漏洞,没啥用
  5. CVE-2017-9798 信息泄露漏洞。没啥用
  6. CVE-2021-37580 插件漏洞,价值不大

中间件------Tomcat

  1. 弱口令爆破
    Tomcat需要登录中间件,访问页面默认,配置不当导致后台弱口令,可通过上传jsp压缩包改后缀名为war拿shell。后台管理如下:

  2. CVE-2017-12615------文件上传
  3. CVE-2020-1938------文件包含
相关推荐
房屋安全鉴定检测1 小时前
房屋安全鉴定注意事项
安全·网络安全
房屋安全鉴定检测1 小时前
房屋安全鉴定机构服务内容
安全·网络安全
碳水加碳水5 小时前
Java代码审计实战:XML外部实体注入(XXE)深度解析
java·安全·web安全·代码审计
晓衣6 小时前
2025“獬豸杯”全国电子数据取证竞赛-k8s服务器取证wp
服务器·经验分享·程序人生·网络安全·容器·kubernetes·学习方法
lingggggaaaa13 小时前
小迪安全v2023学习笔记(七十九讲)—— 中间件安全&IIS&Apache&Tomcat&Nginx&CVE
笔记·学习·安全·web安全·网络安全·中间件·apache
淮北49417 小时前
计算机网络学习(七、网络安全)
学习·计算机网络·web安全
爱隐身的官人19 小时前
新后端漏洞(上)- Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
网络·安全·web安全·spel表达式注入命令执行
星马梦缘19 小时前
计算机网络7 第七章 网络安全
网络·计算机网络·安全·web安全·非对称加密·对称加密
weixin_4462608519 小时前
探索网络安全的利器:theHarvester
安全·web安全
jieyu111920 小时前
内网后渗透攻击--linux系统(权限维持)
网络安全·内网渗透
热门推荐
012025 年高教社杯全国大学生数学建模竞赛C 题 NIPT 的时点选择与胎儿的异常判定 完整成品思路模型代码分享,全网首发高质量!!!022025年数学建模国赛C题超详细解题思路03UV安装并设置国内源04不再让Windows更新!&Edge游戏助手卸载及关闭自动更新052025全国大学生数学建模C题保姆级思路模型(持续更新):NIPT 的时点选择与胎儿的异常判定062025高教社杯国赛数学建模选题建议+初步分析07KGG转MP3工具|非KGM文件|解密音频08A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程092025国赛B题保姆级教程思路分析 碳化硅外延层厚度的确定10jdk21下载、安装(Windows、Linux、macOS)