渗透测试学习 二11、 JSP相关漏洞

大纲

ST2漏洞  （Struts2）

反序列漏洞              网站容器，中间键

其余漏洞

 

Struts2漏洞

简介： Struts2是一个基于MVC设计模式的Web应用框架，它本质上至关于一个servlet，在MVC设计模式中，Struts2做为控制器(Controller)来创建模型与视图的数据交互。Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差异巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器可以与ServletAPI彻底脱离开，因此Struts 2能够理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化，可是相对于WebWork，Struts 2的变化很小。（百度百科）

（注：.do或.action可能存在该框架）

 

漏洞挖掘

         单个目标站进行测试

         工具爬行

         找到存在漏洞的地址，例如：xx.action，用相关的工具进行测试

         通常存在于登陆，注册，留言，提交数据，进行数据交互的地方等

　　（通常使用的工具是k8_struts2_EXP.exe）

 

 批量查找利用

　　URL采集相关关键字　　site:xx.com inurl:.action

 

Java反序列化漏洞

简介：序列化就是把对象转换成字节流，便于保存在内存，文件，数据库中；反序列化即逆过程，由字节流还原成对象。Java中的objectoutputstream类的writeobject()方法能够实现序列化，类objectinputstream类的readobject()方法用于法序列化。

工具

         Java反序列化终极测试工具 –powered by STG-G哥

 

其余漏洞

         Tomcat部署漏洞

         访问Tomcat manager页面

         尝试弱口令爆破，工具：伊美式Apache Tomcat http://yimeishi.icoc.cc

         登陆管理界面

         部署war文件

         getshell

 

weblogic攻击

         批量扫描weblogic缺省的web管理端口（http为7001，https为7002），开放这些端口的通常都是有安装weblogic的。

         Google搜索关键字“weblogic server administrator console inurl:console”URL后面是console结尾的通常为目标。

         在找到的目标URL后面加上console，回车后自动跳到管理登陆界面

         尝试弱口令

         用户名，密码：weblogic，weblogic；system，system；portaladmin，portaladmin；guest，guest

         登陆后找到“mydomain”->“deployments”->“web application modules”->“deploy new web application mondule”

         再点“upload your file(s)”，在跳转后的页面上传war包

 

其余漏洞详解

         越权漏洞

         逻辑漏洞

         其余漏洞

 

越权漏洞

         水平越权

                   水平越权是指同等权限级别越权

         纵向越权

                   纵向越权是指不一样等级权限级别越权

 

越权漏洞挖掘

         漏洞出现点：通常在网商，网点等

         数据交互的地方

         用户可操做的地方

         参数可控制的地方

 

示例：metinfo 4.0@2008-2018

         会员中心

         修改资料

         抓包

         将用户名改成另外一个用户的名字->会修改另外一个用户的信息

（一样能够修改管理员的密码-纵向越权）

 

逻辑漏洞挖掘

         逻辑漏洞分类

         逻辑密码找回->在填写手机号后抓包，改包->发送

         逻辑支付漏洞->（支付金额，购买数量）抓报，改包

         逻辑登陆->修改响应包，抓报-do intercept->response to thisrequest->forward

 

SSRF（Serve-Side Request Forgery：服务器端请求伪造）

         SSRF是一种由攻击者构造造成有服务器端发起请求的安全漏洞，通常状况下，SSRF攻击的目标是从外网没法访问的内部系统（正是由于它由服务端发起的，因此它可以请求到与它相链接与外网隔绝的内部系统）

         SSRF造成的缘由大部分是因为服务器端提供了从其余服务器应用获取数据的功能，且没有对目标地址进行过滤和限制，好比从指定URL地址获取网页文本内容，加载指定地址的图片，下载等

 

漏洞产生

         用户在地址栏输入网址->向目标网站发送请求->目标网站接收请求并在服务器端验证请求是否合法，而后返回用户所须要的页面->用户接收页面并在浏览器中显示

         产生漏洞的环节：目标网站接受请求后在服务器端验证请求是否合法

         产生的缘由：服务器端的验证并无对齐请求获取图片的参数（image=）作出严格的过滤以及限制，致使能够从其余服务器获取必定量的数据。

例如：

         www.xx.com/a,asp?image=http://www.abc.com/1,jpg

         若是将http://abc.com/1.jpg换成与该服务器相连的内网服务器地址会产生的效果：

         若是存在该内网地址就会返回1xx，2xx之类的状态码，不存在就会是其余的状态码。

         简析：SSRF漏洞就是经过篡改获取资源的请求，发送给服务器，可是服务器并无发现这个请求是不合法的，而后服务器以他的身份来访问其余服务器的资源。

         SSRF漏洞的寻找

         1.分享，经过URL地址分享网页的内容

         2.转码与服务

         3.在线翻译

         4.图片加载与下载：经过URL地址加载或下载图片

         5.图片，文章收藏功能

         6.未公开的api实现以及其余调用URL的功能

         7.从URL中关键字寻找

                  share        wap           url              link            src             source               target

                   u                ig               display               sourceurl          imageurl           domain