前言:
一天学习一集,就学习小迪
正题:
中间件
iis中间件
1、短文件:信息收集
Windows 开启 8.3 短文件名 + IIS 7.5 及更早且开 ASP.NET + 未屏蔽 400/404 状态码差异 + 目标在 Web 可访问路径。
2、文件解析
-
该版本默认会将
*.asp;.jpg这种格式的文件名,当成asp文件进行解析 -
该版本默认会将
*.asp/目录下的所有文件当成asp文件解析
3、http.sys:蓝屏奔溃
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2等上述主机
nginx
解析漏洞,配置错误
在jpg里面插入<php phpinfo();?>,在jpg图片后面加上php,就可以执行php了
解析漏洞,cve2013漏洞 nginx0.8-1.43/1.50-1.57
上传图片,jpg后面加个空格,访问时在后面加个空格.php,将空格改成20,就可以当成php解析了
2、cve2021-23017 无exp,不知道现在有没有
apache
cve-2021-42013 rce漏洞
目录穿越漏洞
2021-41773
解析漏洞,cve-2017-15715
在另一个文件名下面的二进制里面加0a,
需要黑名单验证,
tomcat
1、弱口令漏洞,配置不当导致弱口令
可上传jsp压缩的改名war,拿shell
2、cve-2017-12615 文件上传
apache tomcat 7.0.0-7.0.79
PUT /1.jsp HTTP/1.1
后门代码,哥斯拉生成的
3、文件包含cve-2020_1938
尝试可以获取服务器的敏感信息,还有文件包含漏洞
tomcat 6.*,tomcat7.*<7.0.100 tomcat 8.*<8.5.51 tomcat 9.*<9.0.31
有exp,githuajp-lfi
ai写的
🔹 IIS 中间件
| 漏洞/特性 | 类型 | 说明 |
|---|---|---|
| 短文件漏洞 | 信息收集 | 利用 Windows 8.3 短文件名特性,可爆破猜测敏感文件 |
| 文件解析漏洞 | 解析错误 | ; 或 .asp 等特殊后缀可能导致错误解析 |
| HTTP.SYS 漏洞 | 蓝屏崩溃 | 发送恶意 Range 头可导致远程蓝屏(MS15-034) |
🔹 Nginx 中间件
| 漏洞编号 | 类型 | 利用说明 |
|---|---|---|
| 解析漏洞(配置错误) | 解析执行 | 在 JPG 中插入 <?php phpinfo();?>,访问时在 URL 后加 /xx.jpg/xx.php 即可执行 |
| CVE-2013-4547 | 解析漏洞 | 影响 0.8 ~ 1.4.3 / 1.5.0 ~ 1.5.7。上传 xx.jpg,访问时加空格 + .php 可解析为 PHP |
| CVE-2021-23017 | 未知 | 暂无公开 EXP,待跟踪 |
🔹 Apache 中间件
| 漏洞编号 | 类型 | 说明 |
|---|---|---|
| CVE-2021-41773 | 目录穿越 | 路径规范化缺陷,可读取敏感文件 |
| CVE-2021-42013 | RCE | 41773 的绕过补丁版本,可导致远程代码执行 |
| CVE-2017-15715 | 解析漏洞 | 上传文件时在文件名末尾插入 0x0A(换行符),可绕过黑名单并解析为 PHP |
🔹 Tomcat 中间件(重点 · 利用难度低)
常见基础漏洞
| 类型 | 说明 |
|---|---|
| 弱口令 | /manager/html 等后台存在弱口令或默认密码 |
| CVE-2017-12615 | 文件上传(PUT 方法),影响 7.0.0 ~ 7.0.79 |
🧪 CVE-2017-12615 利用示例:
PUT /1.jsp/ HTTP/1.1+ 哥斯拉/冰蝎马
| 漏洞编号 | 类型 | 利用难度 | 说明 |
|---|---|---|---|
| CVE-2020-1938 | 文件包含(幽灵猫) | 低 | 影响 Tomcat 6/7 < 7.0.100、8 < 8.5.51、9 < 9.0.31。可读取或包含任意文件(有公开 EXP,如 jp-lfi) |
| CVE-2025-24813 | RCE | 极低 | 利用 PUT + 会话持久化触发反序列化。PoC 已公开,在野利用中 |
| CVE-2025-55752 | 目录遍历 → RCE | 低 | 绕过 /WEB-INF/ 等敏感目录限制,结合 PUT 可写马 |
| CVE-2025-31650 | DoS | 低 | HTTP/2 Priority 头畸形请求导致内存耗尽 |