特殊文件:上传html、htm 可以 XSS、swf 可以XSS、pdf 在 chrome 里可以做跳转、cer、asa、jspx、php5、phtml等可能会被当做动态语言解析、.htaccess .user.ini web.config web.xml 等
无大小和次数限制:无限上传制造垃圾数据堵死硬盘
imagemagick命令执行
5.1.1.2文件读取
读取系统敏感文件 如配置文件
5.1.1.3文件包含
可读取文件或代码执行
5.1.1.4文件删除
删除配置文件可破坏网站 删除安装锁可重装
5.1.2代码执行
5.1.2.1表达式
freemarker OGNL Spel jsel eval
5.1.2.2非表达式
1.php:
assert
call_user_func() / call_user_func_array()
preg_replace()
create_function()
array_map()
array_filter()
usort() / uasort()
反序列化
php 源文件拼接写入
2.java:
反序列化
远程 jar 加载
反射机制
jsp 源文件拼接写入
5.1.3s-s-rF
5.1.3.1利用姿势
1.http/s协议:
获取真实IP
内网主机 / 端口探测
攻击redis、memcache等
2.file协议:
读取文件
5.1.3.2绕过
IP换成域名
IP换成10进制
302 跳转
5.1.4无恶意特征的漏洞
1.整数溢出:数字超出限定大小则会为负数。如:在购买商品时填写超长数字,造成溢出,最终乘以金额变为负数
2.并发修改数据(如提现)
3.网站重装
4.未授权访问
5.水平与垂直越权
6.JSONP劫持
7.密码重置
8.点击劫持
5.2通用漏洞
5.2.1WEB
5.2.1.1Java
1.struts2
S2-001 --- WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8
S2-003 --- Struts 2.0.0 - Struts 2.0.11.2
S2-005 --- Struts 2.0.0 - Struts 2.1.8.1
S2-007 --- Struts 2.0.0 - Struts 2.2.3
S2-008 --- Struts 2.1.0 - Struts 2.3.1
S2-009 --- Struts 2.0.0 - Struts 2.3.1.1
S2-012 --- Struts Showcase App 2.0.0 - Struts Showcase App 2.3.13
S2-013 --- Struts 2.0.0 - Struts 2.3.14
S2-015 --- Struts 2.0.0 - Struts 2.3.14.2
S2-016 --- Struts 2.0.0 - Struts 2.3.15
S2-019 --- Struts 2.0.0 - Struts 2.3.15.1
S2-029 --- Struts 2.0.0 - Struts 2.3.24.1 (except 2.3.20.3)
S2-032 --- Struts 2.3.20 - Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-033 --- Struts 2.3.20 - Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-037 --- Struts 2.3.20 - Struts Struts 2.3.28.1
S2-045 --- Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
S2-046 --- Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
S2-048 --- Struts 2.3.x with Struts 1 plugin and Struts 1 action
S2-052 --- Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12
S2-053 --- Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10
S2-057 --- Struts 2.0.4 - Struts 2.3.34, Struts 2.5.0 - Struts 2.5.16
2.spring
Spring-data-commons 代码执行
Spring MVC 目录穿越漏洞
Spring 视图注入漏洞
spring-messaging远程代码执行
Spring WebFlow 远程代码执行
spring-tx.jar 反序列化
spring-security-oauth2 RCE
Spring Cloud Config Server 任意文件读取漏洞(CVE-2019-3799)
Springboot swagger 控制台未授权
Spring Boot Actuator 未授权访问
5.2.1.2PHP
1.thinkphp
5.x:多个代码执行
3.x:代码执行 SQL注入
日志泄漏:/App/Runtime/模块名/Log[s]/年_月_日.log
/Application/Runtime/Log[s]/年_月_日.log
/Runtime/Log[s]/年_月_日.log
缓存getshell
2.yii
3.Laravel
5.2.2服务器
1.nginx:0.8.* 版本以下有解析漏洞 e.g:1.jpg/.php 1.jpg%00x.php
2.apache:有解析漏洞 e.g:1.php.xx
HTTP 2.0 拒绝服务
CVE-2017-15715 解析漏洞
3.weblogic:
反序列化:CVE-2015-4852
CVE-2016-0638
CVE-2016-3510
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2018-3252
CVE-2018-3191
CVE-2018-3245
4.tomcat:CVE-2017-12615 远程代码执行
session 注册
本地提权
5.websphere:Websphere8.5
Websphere6-7
后台未授权,登录后可部署WAR包
SOAP服务有反序列化
弱口令:admin / password
5.3常见服务弱点
21 / FTP:
匿名/暴力破解
拒绝服务
22 / SSH:暴力破解
23 / telnet
弱口令 / 暴力破解
161 / snmp:弱口令
389 / ladp:
匿名访问
ladp注入
443 / ssl:openssl心脏出血
445 / smb:
win10拒绝服务
永恒之蓝RCE
875 / rsync:匿名访问
1433 / mssql:暴力破解
1521 / oracle:暴力破解
2601 / zebra
3128 / squid
3306 / mysql:
RCE
hash破解
waf绕过
general_log_file getshell
提权
3312 / kangle:getshell
3389 / rdp:
shift 放大镜 输入法绕过 guest用户
永恒之蓝(ESTEEMAUDIT)
ms12-020
4440 / rundeck
4848 / glassfish
文件读取
GlassFish2 / admin:admin
GlassFish3,4 / 如果管理员不设置帐号本地会自动登录,远程访问会提示配置错误
5432 / PostgreSQL
RCE
默认账号postgres
参考
5672,15672,4369,25672 / RabbitMQ
5900 / VNC
5984 / CouchDB
6082 / varnish :CLI 未授权
6379 / redis:
Redis未授权:
ssh publickey
crontab
webshell
反序列化
开机自启文件夹写bat
7001,7002 / WebLogic:
默认弱口令:weblogic/weblogic ,weblogic/welcom ,weblogic/welcom1,weblogic1/weblogic
反序列:CVE-2018-2628
9200,9300 / elasticsearch:
CVE-2015-1427
CVE-2018-17246
9043 / WebSphere:
Websphere8.5
Websphere6-7
后台未授权,登录后可部署WAR包
SOAP服务有反序列化
弱口令:admin / password
11211 / memcache:
未授权
UDP反射
27017,27018 / Mongodb:
未授权
注入
phpMoAdmin RCE
50000 / SAP:SAP命令执行
50070,50030 / hadoop:
未授权
命令执行
5.后渗透与持续渗透
5.1权限维持与提升
5.1.1提权
1.Windows: