资安这条路 27 - [服务器软件]Web 应用服务器-Tomcat、Weblogic、Websphere、Jboss

Tomcat

• 开放原始码，支援 JSP 和 servlets 的 Web 应用服务器

• 切勿使用 root 执行 Tomcat

  useradd -d /tomcat -u 501 tomcat
  passwd tomcat
  su - tomcat
  

• 关闭目录显示

  • DefaultServlet False

• 修改预设 port & 版本资讯

  • vim $TOMCAT_HOME/conf/server.xml
  • 预设 8080 port
  • <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="App service版本资讯"/>
  • 修改 port 储存後重起服务器

• Tomcat 预设范例 /examples/servlets/servlet/SessionExample

  • 
  • 若写入与管理员对应的 Session 有机会进入管理页面

• log

  • 将注解取消

  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
  

  • 
  • 

• CVE-2020-1938：Tomcat Ghostcat

  • 高危险漏洞
  • 影响：Tomcat 9/8/7/6 全版本
  • 可读取 webapp 底下所有档案
  • 开启 AJP Connector 8009 port （使用 Apache Jserv Protocol）

• 参考网址

  • http://netkiller.sourceforge.net/www/tomcat/server.html
  • https://www.chaitin.cn/zh/ghostcat

Weblogic

• Oracle 公司开发的 Web 应用服务器

• 基於 Java EE 架构

• 用於开发、部署 Java 的应用程序

• 启动 Weblogic 权限

  • 使用帐号 weblogic
  • chown -R weblogic:weblogic "Weblogic资料夹"
  • Log 权限也要改成 weblogic

• 修改预设 port

  • config/config.xml
  • 找到 AdminServer
  • <listen-port>7005</listen-port>
  • 修改 listen-port

• 目录列表

  • weblogic.xml
  • <index-directory-enabled>
  • 预设 false 不开启目录列表

• 敏感路径

  • config/config.xml
    • 网站路径
    • 登入帐号密码
    • port 设定

• Weblogic SSRF

  • CVE-2014-4210
  • 影响版本 weblogic 10.0.2 – 10.3.6
  • 服务器提供让其他网站可以读取资料的功能，但是没有过滤导致 SSRF
  • https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf
  • docker-compose up -d
  • 请求 http://漏洞ip:7001/uddiexplorer/
    • 不需要登入可以看到 uddiexplorer 内容
  • 弱点路径：http://漏洞ip:7001/uddiexplorer/SearchPublicRegistries.jsp
  • POC：/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

• Weblogic 反序列化

  • CVE-2019-2725
    • 影响版本 webLogic 10.3.6.0.0、12.1.3
    • 影响元件：bea_wls9_async_response.war、wsat.war
  • CVE-2019-2729
    • 影响版本 webLogic 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0

• log

  • access log
    • 版本 9 \user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log
    • 版本 8 \user_projects\domains\<domain_name>\<server_name>\access.log
  • server log
    • 版本 9 \user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log
    • 版本 8 \user_projects\domains\<domain_name>\<server_name>\<server_name>.log
  • domain log
    • 版本 9 \user_projects\domains\<domain_name>\servers\<adminserver_name>\logs\<domain_name>.log
    • 版本 8 \user_projects\domains\<domain_name>\<domain_name>.log

• 参考网址

  • https://paper.seebug.org/909/
  • https://github.com/lufeirider/CVE-2019-2725

Websphere

• IBM 开发的 Web 应用服务器

• 设定档

  • Windows was_install_dir\bin\manageprofiles.bat –listProfiles
  • Linux was_install_dir/bin/manageprofiles.sh –listProfiles

• 漏洞

  • CVE-2020-4448
    • WebSphere Application Server ND 8.5/9.0，WebSphere Virtual Enterprise 7.0/8.0
    • BroadcastMessageManager 元件对使用者传入的资料参数未做过滤，导致恶意资料进行反序列化漏洞，可造成以管理员身分执行任意指令
  • CVE-2020-4449
    • WebSphere Application Server 7.0/8.0/8.5/9.0
    • IIOP 协定未验证完全，导致可反序列化，泄漏敏感资讯
  • CVE-2020-4450
    • WebSphere Application Server 8.5/9.0
    • IIOP 协定未验证完全，导致可反序列化，利用 root 权限执行指令

• log

  • http://localhost:9060/ibm/console
    • 以下图片来源：https://www.ibm.com/support/pages/how-view-logging-information-inside-websphere-application-server
    • 
    • Servers
    • Server Types
    • Websphere application server
    • Troubleshooting
    • Logging and tracing
    • 
    • General Propertie
    • JVM Logs
    • 
    • JVM Logs
    • Runtime
    • 
    • Log 路径
    • 

• 参考文章

  • https://www.ibm.com/support/pages/how-view-logging-information-inside-websphere-application-server

Jboss

• 开源的 Web 应用服务器
  • 基於 J2EE
  • 核心不支援 servlet/JSP
• jmx-console 安全性
  • 参考来源
  • /jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml
    • 取消注解<security-domain>java:/jaas/jmx-console</security-domain>
  • /jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml
    • 取消注解

    <security-constraint>
    <web-resource-collection>
    <web-resource-name>HtmlAdaptor</web-resource-name>
    <description>An example security config that only allows users with the
    role JBossAdmin to access the HTML JMX console web application
    </description>
    <url-pattern>/*</url-pattern>
    <http-method>GET</http-method>
    <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JBossAdmin</role-name>
    </auth-constraint>
    </security-constraint>
    

  • /jboss/server/default/conf/props/jmx-console-users.properties
    • 编辑 admin 帐号密码
• web-console 安全性
  • /jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml
    • 取消注解
    • <security-domain>java:/jaas/web-console</security-domain>
  • /jboss/server/defualt/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml
    • 取消注解

    <security-constraint>
    <web-resource-collection>
    <web-resource-name>HtmlAdaptor</web-resource-name>
    <description>An example security config that only allows users with the
    role JBossAdmin to access the HTML JMX console web application
    </description>
    <url-pattern>/*</url-pattern>
    <http-method>GET</http-method>
    <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
    <role-name>JBossAdmin</role-name>
    </auth-constraint>
    </security-constraint>
    

  • /jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes/web-console-users.properties
    • 编辑 admin 帐号密码
• 漏洞
  • JBosSAS 5.x,6.X 反序列化漏洞（CVE-2017-12149）
    • 影响版本：JbossAS 5.x , JbossAS 6.x
• 参考文章
  • https://code.google.com/archive/p/jboss-jmx-maven-plugin/wikis/Security.wiki
  • https://www.mdeditor.tw/pl/pyf0/zh-tw