漏洞发现|漏洞发现-API 接口服务之漏洞探针类型利用修复 tomcat|jar|java

漏洞发现-API 接口服务之漏洞探针类型利用修复

接口服务类安全测试
演示案例
- 端口服务类-Tomcat弱口令安全问题
- 端口服务类-Glassfish任意文件读取
- 其他补充类基于端口WEB站点又测试
- 其他补充类-基于城名WEB站点又测试
- 其他补充类基于IP配合端口信息再收集
- 口令安全脚本工具简要使用-Snetcracker
- API接口类-网络服务类探针利用测试-AWVS

文章图片

文章图片

接口服务类安全测试根据前期信息收集针对目标端口服务类探针后进行的安全测试，主要涉及攻击方法：口令安全，WEB类漏洞，版本漏洞等，其中产生的危害可大可小，属于端口服务/第三方服务类安全测试面。一般在已知应用无思路的情况下选用的安全测试方案。
API接口-webservice RESTful APT
介绍：https://xz.aliyun.com/t/2412
https://github.com/SmartBear/soapui
根据应用自身的功能方向决定，安全测试目标需有API接口才能进行此类测试，主要涉及的安全问题：自身安全，配合WEB，业务逻辑等，其中产生的危害可大可小，属于应用API接口网络服务测试面，一般也是在存在接口调用的情况下的测试方案。
WSDL(网络服务描述语言，web services description language)是一门基于XML的语言，用于描述web services 以及如何对他们进行访问。
漏洞关键字，配合shodan,fofa,zoomye搜索

inurl: jws?wsdl inurl: asmx?wsdl inurl: aspx?wsdl inurl: ascx?wsdl inurl: ashx?wsdl inurl: dll?wsdl inurl: exe?wsdl inurl: php?wsdl inurl: pl?wsdl inurl: ?wsdl inurl: asmx?wsdl filetype: ?wsdl

http://testaspnet.vulnweb.com/acuservice/service.asmx
【漏洞发现|漏洞发现-API 接口服务之漏洞探针类型利用修复】1.web服务类
tomcat–80/8080/8009
manager弱口令
put上传webshell
HTTP慢速攻击
ajr文件包含漏洞 CVE-2020-1938
Jboss–8080
后台弱口令
console后台部署war包
Java反序列化
远程代码执行
webSphere–9080
后台弱口令
任意文件泄露
Java反序列化
Weblogic–7001/7002
后台弱口令
console后台部署war包
SSRF
测试页面上传webshell
Java反序列化
CVE-2018-2628
CVE-2018-2893
CVE-2017-10271
CVE-2019-2725
CVE-2019-2729
Glassfish–8080/4848
暴力破解
任意文件读取
认证绕过
Jetty–8080
远程共享缓冲区溢出
Apache–80/8080
HTTP慢速攻击
解析漏洞
目录遍历
Apache Solr–8983
远程命令执行
CVE-2017-12629
CVE-2019-0193
IIS–80
put上传webshell
IIS解析漏洞
IIS提权
IIS远程代码执行 CVE-2017-7269
Resin-8080
目录遍历
远程文件读取
Axis2–8080
后台弱口令
Lutos–1352
后台弱口令
信息泄露
跨站脚本攻击
Nginx–80/443
HTTP慢速攻击
解析漏洞
2.数据库类
MySQL–3306
弱口令
身份认证漏洞 CVE-2012-2122
拒绝服务攻击
phpmyadmin万能密码or弱口令
UDF/MOF提权
Mssql–1433
弱口令
存储过程提权
Oralce–1521
弱口令
TNS漏洞
Redis–6379
弱口令
未授权访问
PostgreSQL–5432
弱口令
缓冲区溢出 CVE-2014-2669
MongoDB–27001
弱口令
未授权访问
DB2–5000
安全限制绕过进行未授权操作 CVE-2015-1922
SysBase–5000/4100
弱口令
命令注入
Memcache-11211
未授权访问
配置漏洞
ElasticSearch–9200/9300
未授权访问
远程代码执行
文件办理
写入Webshell
3.大数据类
Hadoop–50010
远程命令执行
Zookeeper–2181
未授权访问
4.文件共享
ftp–21
弱口令
匿名访问
上传后们
远程溢出
漏洞攻击
NFS–2049
未授权访问
Samba–137
弱口令
未授权访问
远程代码执行 CVE-2015-0240
LDAP–389
弱口令
注入
未授权访问
5.远程访问
SSH–22
弱口令
28退格漏洞
OpenSSL漏洞
用户名枚举
Telnet–23
弱口令
RDP–3389
弱口令
shift粘滞键后门
缓冲区溢出
MS12-020
CVE-2019-0708
WNC–5901
弱口令
认证口令绕过
拒绝服务攻击 CVE-2015-5239
权限提升 CVE-2013-6886
Pcanywhere-5632
拒绝服务攻击
权限提升
代码执行
X11-6000
未授权访问 CVE-1999-0526
6.邮件服务
SMTP–25/465
弱口令
未授权访问
邮件伪造
POP3-110/995
弱口令
未授权访问
IMAP-143/993
弱口令
任意文件读取
7.其他服务
DNS–53
DNS区域传输
DNS劫持
DNS欺骗
DNS缓存投毒
DNS隧道
DHCP-67/68
DHCP劫持
DHCP欺骗
SNMP–161
弱口令
Rlogin-512/513/514
rlogin登录
Rsync–873
未授权访问
本地权限提升
Zabbix-8069
远程命令执行
RMI–1090/1099
java反序列化
Docker-2375
未授权访问
演示案例端口服务类-Tomcat弱口令安全问题 1.使用Vulhub一键搭建漏洞测试靶场（https://vulhub.org/）
参考：https://blog.csdn.net/Blood_Pupil/article/details/88660728
2.在Vulhub网站搜索tomcat弱口令漏洞，按照步骤，启动环境，漏洞复现。如图

文章图片

2、以vuln提供的漏洞环境为例，context.xml内容如下，表示允许所有IP访问，所以我们可以进去到/manager/html网页去
context.xml内容

3、尝试多个弱密码后，发现账号密码均是Tomcat
4、上传war包get shell，要部署War包首先要生成一个War包，这里我们使用CVE-2017-12615这篇文章中的代码为例，打包命令如下：

root@kali:~/evil# dir evil.jsp root@kali:~/evil# jar cvf evil.war . 已添加清单正在添加: evil.jsp(输入 = 694) (输出 = 390)(压缩了 43%) root@kali:~/evil# dir evil.jspevil.war root@kali:~/evil# 参数解释如下： -c, --create创建档案 -v, --verbose在标准输出中生成详细输出 -f, --file=FILE档案文件名。省略时, 基于操作

5、接下来进入后上传War包

文章图片

6、如果上传成功你会看到如下信息

文章图片

7、蚁剑连接/1/1.jsp成功Getshell

文章图片

端口服务类-Glassfish任意文件读取扫端口

文章图片

文章图片

原理：
java语言中会把%c0%ae解析为\uC0AE，最后转义为ASCCII字符的.（点）。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转，达到目录穿越、任意文件读取的效果。
访问https://192.168.28.128:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd，返回服务器文件。

文章图片

其他补充类基于端口WEB站点又测试很多网站域名是一个网站，域名+端口又是一个网站，这样当你渗透测试时，相当于多了一个目标，相应的成功几率也会变高。举例：http://yc.zjgsu.edu.cn和http://yc.zjgsu.edu.cn:8080/
其他补充类-基于城名WEB站点又测试注册人域名登记特有信息
思路1：当我们拿到一个域名时，比如www.jmisd.cn，我们可能首先会去查询它的子域名，这是一个方向，这里我们提供另外一种思路，查询它的相关域名，方法是百度域名查询，会有很多可以查询域名是否已被注册的网站，比如西部数码网站，我们进入后搜索jmisd，会显示以下3个域名已被注册，然后我们分别查看它们的whois信息、下方版权信息等，查看它们与是否与原网站有相同点，若有，说明这两个网站是同一个公司的，然后就为渗透这个网站找到了一条新路。

文章图片

文章图片

思路2：当我们拿到一个域名时，通过查看它的whois信息、下方版权信息等获取到该网站特有的一些关键信息，然后直接百度搜索这些信息，就有可能得到一些与该网站相关的其他域名。
其他补充类基于IP配合端口信息再收集思路1：假设xx.com对应目录d:/wwwroot/xx/，192.168.33.2对应目录d:/wwwroot/，此时目录d:/wwwroot/下有一个网站备份压缩包xx.zip，那么访问xx.com/xx.zip不能下载，但是访问192.168.33.2/xx.zip可以成功下载。
思路2：给定一个域名，我们先找到对应的ip，然后扫描IP，可以发现开放的端口，我们进行目录扫描或敏感文件扫描时，不仅需要对域名扫描，还要对IP以及IP:端口进行扫描，这样会发现更多的漏洞。
口令安全脚本工具简要使用-Snetcracker Snetcarcker下载：https://github.com/shack2/SNETCracker/releases
SNETCracker超级弱口令检查工具是一款Windows平台的弱口令审计工具，支持批量多线程检查，可快速发现弱密码、弱口令账号，密码支持和用户名结合进行检查，大大提高成功率，支持自定义服务端口和字典。
工具采用C#开发，需要安装.NET Framework 4.0，工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。
工具特点：
1.支持多种常见服务的口令破解，支持RDP（3389远程桌面）弱口令检查。
2.支持批量导入IP地址或设置IP段，同时进行多个服务的弱口令检查。
3.程序自带端口扫描功能，可以不借助第三方端口扫描工具进行检查。
4.支持自定义检查的口令，自定义端口。
其他工具：hydra
API接口类-网络服务类探针利用测试-AWVS 案例7：API接口类-网络服务类探针利用测试-AWVS
测试WSDL网络服务可使用AWVS扫描
awvs下载：https://www.cnblogs.com/xyongsec/p/12370488.html
小技巧：sqlmap指定在参数id处进行注入：使id=1*