安全关乎全局:WebSphere配置不当

日期: 2010-12-29 来源:TechTarget中国 英文

  IBM WebSphere Application Server(WAS)是IBM WebSphere软件平台的基础和面向服务的体系结构的关键构件。WebSphere Application Server提供了一个丰富的应用程序部署环境,其中具有全套的应用程序服务,包括用于事务管理、安全性、群集、性能、可用性、连接性和可伸缩性的功能。它与Java EE兼容,并为可与数据库交互并提供动态Web内容的Java组件、XML和Web服务提供了可移植的Web部署平台。

    这意味着WAS为部署应用程序、管理应用程序资源要求、确保应用程序的可用性、保护和与其他应用程序及其资源要求的隔离以及监视和保护应用程序提供了支持。

    目前IBM推出的WAS版本是V7,该产品是基于Java EE 5认证的,支持EJB 3.0技术的应用程序平台,它交付了安全、可伸缩、高性能的应用程序基础架构,这些基础架构是实现SOA所需要的,从而提高业务灵活性。但也正是因为其功能的多样和强大而导致安全性也随之变得更加重要。

  渗透过程

  漏洞扫描、端口扫描

    在渗透的开始先是进行相关信息的收集,信息收集包括漏洞扫描、端口扫描、管理员相关信息等等。这里使用了Acunetix Web Vulnerability Scanner 7简称WVS和IBM Rational AppScan 7.8对目标网站进行了扫描,如(图1)和(图2)。

(图1)

(图1)

(图2)
 
(图2)

  进行渗透

  从WVS的端口扫描中看到该服务器只开放了80端口(图3),从错误信息中看到该网站使用的是DB2数据库(图4)。发现了robots.txt却是空的(图5)。手工测试也没有发现注入之类的漏洞。只能一个一个目录地翻下去找找有没有什么漏洞了。

    最后“IBM WebSphere Application Server 文件泄露”这个漏洞却起到了作用,存在这个漏洞的网站当攻击者发送格式异常的 HTTP 请求来强制 Web 服务器返回文件,如http://www.xxx.com/./WEB-INF/web.xml   ,便有可能检索特定目录中的文件。攻击者可以利用这个问题来获取关于服务器机器的敏感信息,从而进一步攻击站点。通过这个漏洞获取了WAS的web.xml文件,里面发现了一个敏感的目录——fckeditor(图6)。

    FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化,不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合。“FCKeditor”名称中的 “FCK” 是这个编辑器的作者的名字Frederico Caldeira Knabben的缩写。

    FCKeditor 相容于绝大部分的网页浏览器,像是 : Internet Explorer 5.5+ (Windows)、Mozilla Firefox 1.0+、Mozilla 1.3+ 、Netscape 7+以及Opera浏览器。FCKeditor 的安装非常容易!最新版本可以在这里下载!所见即所得编辑器是很容易使用的工具! FCKeditor使用的非常广泛,在很多类型的网站程序中都可以看到它,但是在各种语言的FCKeditor的多个版本里面都存在着高危漏洞。

(图3)

(图3)

(图4)

(图4)

(图5)
 
(图5)

(图6)
 
(图6)

  利用漏洞拿下权限

    利用“IBM WebSphere Application Server 文件泄露”这个漏洞下载了WebSphere Application Server 的配置文件web.xml,从web.xml发现FCKeditor的路径:http://www.xxx.com/main/js/fckeditor/(图8)。

    还需要构造出能够利用的URL地址,测试默认的地址访问成功(图9):http://www.xxx.com/main/js/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/ 。/files/web/8/content/Image/这个目录是存放上传文件的。

    测试FCKeditor上传文件的地址成功(图10):http://www.xxx.com/main/js/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector 然后直接从这里上传一个JSP的webshell,即可拿到了网站的权限(图11),从这个WEBSHELL中就可以直接系统权限,执行whoami一看发现已经是root权限了(图12)。

(图7)

(图7)

(图8)

(图8)

(图9)

(图9)

(图10)

(图10)

(图11)

(图11)

  修补与加固

    应用 APAR PK81387 或 eWAS(WASEmbeded)的修订包 6.1.0.23。请参阅供应商建议以获取详细信息,网址为:http://www-01.ibm.com/support/docview.wss?uid=swg21380376。。

  结束语

    安全关乎全局,只要有一点缺陷都可能导致整个系统面临威胁!先是IBM WebSphere Application Server配置不当泄露了重要的文件,然后FCKeditor的配置也不安全,直接可以上传恶意文件,最后发现网站居然是用root权限来运行的,从网站权限可以直接拿到系统权限!所有说信息安全不容忽略任何一点!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • Spring针对Java 8升级

    Java 8刚刚在几周前发布。后来Spring Framework项目负责人发表了题为《企业项目中的Java 8》的文章。文中,指出那些著名的Java EE应用服务器如何不允许轻松升级。

  • IBM投资12亿美元用于扩大其全球云的部署

    1月17日,IBM宣布计划投入超过12亿美元大规模拓展其全球云的部署。这项投资包括建立旨在为客户带来更大灵活性和透明度的数据中心网络。

  • 你应该远离的六个Java特性

    近日,Tarnovski撰文谈到了普通开发者应该尽量避免使用的6个Java特性,这些特性常见于各种框架或库当中,使用这些特性也许会给你所开发的应用带来灾难。

  • 从测试数据来看Node.js和Java EE的性能区别

    本文是通过从CouchDB上读取JSON数据来比较Node.js和Java EE之间的性能的。究竟谁的性能更好些?