云计算百科
云计算领域专业知识百科平台
当前位置:网硕互联帮助中心 > 服务器百科 > 正文

常见服务器、框架及组件漏洞详解(护网)

2025-04-18 分类:服务器百科 阅读(6) 评论(0)

一、服务器漏洞

(一)IIS

  • 解析漏洞 :如 bk.asp;1.jpg,IIS 会将其解析为 bk.asp;在文件名后添加 / 或 \\ 等目录分隔符,IIS 会将其解析为目录,从而绕过文件类型限制。

  • PUT 任意文件写入漏洞 :攻击者可通过 PUT 请求向服务器写入任意文件,如在支持 PUT 方法的情况下,向服务器发送 PUT 请求写入恶意的 webshell 文件。

  • 短文件漏洞 :利用 IIS 对短文件名的处理机制,通过构造特殊的短文件名请求,访问或写入本不应访问的文件。

  • 判断攻击是否成功的方法 :检查 IIS 日志,查看是否有异常的 PUT 请求、对敏感文件的访问请求以及包含特殊字符的文件名请求。同时,监控服务器文件系统,看是否有异常文件被创建或修改。

    • (二)Apache

  • 解析漏洞 :攻击者可上传自定义的 .htaccess 文件,设置特定文件的解析方式,使原本不能执行的文件被当作脚本执行;从右向左解析文件名,遇到不认识的扩展名会跳过,攻击者可上传如 a.php.rar 文件,Apache 会将其解析为 PHP 文件。

  • 目录遍历漏洞 :攻击者通过构造特殊路径,如 ../../../ 等,访问服务器上本不应被访问的目录和文件。

  • 判断攻击是否成功的方法 :检查 Apache 访问日志和错误日志,查看是否有对 .htaccess 文件的上传或设置请求、多后缀文件的上传请求以及包含目录遍历路径的访问请求。同时,监控服务器文件系统的访问情况,看是否有异常文件被访问。

    • (三)Tomcat

  • war 后门部署 :攻击者通过上传恶意的 war 文件并在 Tomcat 上部署,从而在服务器上运行恶意的 Web 应用。

  • 远程代码执行漏洞 :攻击者利用 Tomcat 的某些漏洞,如特定版本中存在的远程代码执行漏洞,通过发送特制的请求在服务器上执行任意代码。

  • 判断攻击是否成功的方法 :检查 Tomcat 的访问日志和部署日志,查看是否有异常的 war 文件上传和部署请求。同时,监控服务器的进程和网络连接,看是否有异常的进程运行和网络通信。

    • 二、应用服务器漏洞

    (一)jBoss

  • 反序列化漏洞 :攻击者请求了 JBOSS 漏洞页面,请求体中有相关 Collections.map.LazyMap、keyvalue.TiedMapEntry 攻击链特征,包含了命令执行语句。如果返回了 500,页面报错内容有命令执行的结果那肯定就是攻击成功了。

  • 判断攻击是否成功的方法 :检查 jBoss 的访问日志和错误日志,查看是否有包含恶意序列化数据的请求。同时,监控服务器的系统日志,看是否有异常的命令执行记录和进程运行。

    • (二)WebLogic

  • 反序列化漏洞 :攻击者通过发送包含恶意序列化数据的请求,利用 WebLogic 的反序列化漏洞执行任意代码。

  • SSRF 漏洞 :攻击者构造特殊的请求,使 WebLogic 作为客户端向指定的目标发送请求,从而实现 SSRF 攻击。

  • 任意文件上传漏洞 :攻击者通过绕过文件上传限制,上传恶意文件并在服务器上执行。

  • 判断攻击是否成功的方法 :检查 WebLogic 的访问日志和错误日志,查看是否有包含恶意序列化数据的请求、SSRF 请求以及任意文件上传请求。同时,监控服务器的网络连接和文件系统,看是否有异常的网络通信和文件被创建或修改。

    • 三、框架漏洞

    (一)Struts2

  • 文件上传漏洞 :攻击者通过绕过文件上传限制,上传恶意文件并在服务器上执行。

  • 命令执行漏洞 :攻击者利用 Struts2 的某些漏洞,如特定版本中存在的命令执行漏洞,通过发送特制的请求在服务器上执行任意命令。

  • ognl 表达式注入漏洞 :攻击者通过构造包含 ognl 表达式的请求参数,注入恶意的 ognl 表达式,从而在服务器上执行任意代码。

  • 流量特征 :访问的目录为 .action 或者 .do,content-Type 的值是默认的,返回的页面也可能会有 struts2 等字样,ognl 表达式注入就会使用 ognl 语法,请求参数会有 ${},%{} 字符。

  • 判断攻击是否成功的方法 :检查 Struts2 应用的访问日志,查看是否有包含恶意 ognl 表达式、命令执行语句以及任意文件上传请求的访问记录。同时,监控服务器的进程和网络连接,看是否有异常的进程运行和网络通信。

    • 四、组件漏洞

    (一)Log4j

  • JNDI 注入漏洞 :攻击者构造特定的 Payload,如 ${jndi:ldap://***} 格式的 JNDI 地址,触发 Log4j 的漏洞,通过远程加载恶意类或执行恶意代码。

  • 流量特征 :请求中包含恶意的 JNDI 地址,触发特定的 Log4j 漏洞 Payload,系统日志中出现异常的 Log4j 调用栈,网络流量异常。

  • 判断攻击是否成功的方法 :检查应用程序的日志文件,查看是否有异常的 Log4j 调用栈和触发 JNDI 查找的 Payload 记录。同时,监控网络流量,看是否有源 IP 与 DNSlog 或者 LDAP 服务的外联日志记录,如果有相关流量,那大概率是攻击成功了。

    • 赞(0)
    未经允许不得转载:网硕互联帮助中心 » 常见服务器、框架及组件漏洞详解(护网)
    分享到: 更多 (0)
    标签:

    相关推荐

    评论 抢沙发

    评论前必须登录!

     

    热门标签

    服务器(2567)运维(1523)linux(754)网络(313)美国站群服务器(308)香港云服务器(305)租用香港服务器(301)香港服务器(298)香港站群服务器租用(298)租用香港站群服务器(294)香港服务器租用(293)香港站群服务器(289)美国云服务器(286)香港VPS(280)美国服务器租用(279)美国服务器(276)人工智能(186)java(165)python(164)ubuntu(150)windows(138)c++(122)数据库(122)ssh(120)前端(120)docker(117)tcp/ip(113)nginx(90)开发语言(87)网络协议(87)

    置顶推荐

    热门文章

    最新文章