JavaWeb应用服务器安全分析与攻击技术<\/h1>

一、Java应用服务器概述<\/h2>

Java应用服务器主要为应用程序提供运行环境，为组件提供服务，主要分为两类：<\/p>

JSP服务器<\/li>

Java EE服务器<\/li> <\/ul>

常见Java服务器包括：Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere等。<\/p>

二、Tomcat服务器安全分析<\/h2>

1. Tomcat基础信息<\/h3>

主流版本<\/strong>：5.x、6.x、7.x、8.x<\/p>

目录结构<\/strong>：<\/p>

Tomcat5: Bin、common、conf、LICENSE、logs等<\/li>
Tomcat6-8: Bin、conf、lib、LICENSE、logs等<\/li> <\/ul>
重要配置文件<\/strong>：<\/p>

conf\/tomcat-users.xml<\/code>：用户账号和角色配置<\/li>
conf\/context.xml<\/code>：数据源配置<\/li>
conf\/server.xml<\/code>：端口、域名绑定、SSL配置<\/li>
conf\/web.xml<\/code>：容器初始化配置<\/li> <\/ul> 2. Tomcat攻击技术<\/h3> (1) 后台部署war获取WebShell<\/h4> 步骤<\/strong>：<\/p> 访问管理后台：http:\/\/xxx.com\/manager\/html<\/code><\/li> 使用"WAR file to deploy"功能上传恶意war包<\/li> 访问部署的WebShell<\/li> <\/ol> 注意事项<\/strong>：<\/p> 默认需要manager角色权限<\/li> Tomcat5默认账号：both\/tomcat、tomcat\/tomcat、role1\/tomcat<\/li> Tomcat6默认无配置用户<\/li> <\/ul> (2) 口令爆破技术<\/h4> 特征<\/strong>：<\/p> 使用Base64(用户名:密码)编码认证<\/li> 响应码非401表示登录成功<\/li> <\/ul> 爆破代码示例<\/strong>：<\/p> conn.<\/span>setRequestProperty<\/span>(<\/span>"Authorization"<\/span>,<\/span> "Basic "<\/span> +<\/span> <\/span><\/span> new<\/span> BASE64Encoder().<\/span>encode<\/span>((<\/span>user +<\/span> ":"<\/span> +<\/span> pass).<\/span>getBytes<\/span>()));<\/span> <\/span><\/span><\/code><\/pre>(3) Tomcat历史漏洞<\/h4> 漏洞资源<\/strong>：<\/p> 官方安全公告： Tomcat5: http:\/\/tomcat.apache.org\/security-5.html<\/li> Tomcat6: http:\/\/tomcat.apache.org\/security-6.html<\/li> Tomcat7: http:\/\/tomcat.apache.org\/security-7.html<\/li> <\/ul> <\/li> CVE数据库：http:\/\/cve.scap.org.cn<\/li> Sebug漏洞库：http:\/\/sebug.net<\/li> <\/ul> 重要漏洞示例<\/strong>：<\/p> CVE-2013-2067：Session fixation (6.0.21-6.0.36)<\/li> CVE-2012-3544：Denial of service (6.0.0-6.0.36)<\/li> CVE-2008-2938：Directory traversal (6.0.18)<\/li> <\/ul> 3. Tomcat识别技巧<\/h3> 响应头包含：Server:Apache-Coyote\/1.1<\/code><\/li> 通过错误页面获取具体版本信息<\/li> <\/ul> 三、Resin服务器安全分析<\/h2> 1. Resin基础信息<\/h3> 特点<\/strong>：默认支持PHP解析(通过Quercus)<\/p> 主流版本<\/strong>：Resin3.x、Resin4.x<\/p> 重要配置文件<\/strong>：<\/p> Resin3: conf\/resin.conf<\/code><\/li> Resin4: conf\/resin.xml<\/code><\/li> <\/ul> 2. Resin攻击技术<\/h3> (1) 获取WebShell<\/h4> Resin4 Web部署<\/strong>：<\/p> 登录管理后台<\/li> 通过HTTPS访问(需开启8443端口)<\/li> 使用"Deploy"功能上传war包<\/li> <\/ol> Resin3部署<\/strong>：<\/p> 直接将war包放入webapps<\/code>目录会自动部署<\/li> <\/ul> (2) 管理密码安全<\/h4> 加密方式<\/strong>：<\/p> Resin3: MD5+Base64<\/li> Resin4: SSHA加密<\/li> <\/ul> 密码配置文件示例<\/strong>：<\/p> admin_user : admin admin_password : {SSHA}XwNZqf8vxNt5BJKIGyKT6WMBGxV5OeIi <\/code><\/pre> 3. Resin安全配置<\/h3> 默认限制<\/strong>：<\/p> <resin:set<\/span> var=<\/span>"resin_admin_external"<\/span> value=<\/span>"false"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre>需改为true才能外部访问管理后台<\/p> 四、Weblogic服务器安全分析<\/h2> 1. Weblogic基础信息<\/h3> 版本差异<\/strong>：<\/p> 10g以下：http:\/\/host:7001\/console\/login\/LoginForm.jsp<\/code><\/li> 10g以上：http:\/\/host:7001\/console<\/code><\/li> <\/ul> 默认端口<\/strong>：7001<\/p> 2. Weblogic攻击技术<\/h3> (1) 密码配置文件<\/h4> 位置<\/strong>：<\/p> Weblogic12\/user_projects\/domains\/base_domain\/servers\/AdminServer\/security\/boot.properties <\/code><\/pre> 加密方式<\/strong>：<\/p> Weblogic9: 3DES加密<\/li> Weblogic12: AES加密(需配合SerializedSystemIni.dat)<\/li> <\/ul> (2) 获取WebShell<\/h4> 通过管理后台部署war包获取WebShell<\/p> 3. Weblogic域概念<\/h3> 域是由单个管理服务器管理的WebLogic Server实例集合，包含：<\/p> 配置文件<\/li> Web应用<\/li> 安全策略<\/li> <\/ul> 五、Websphere服务器安全分析<\/h2> 1. Websphere基础信息<\/h3> 主流版本<\/strong>：6.x、7.x、8.x<\/p> 管理后台<\/strong>：https:\/\/localhost:9043\/ibm\/console\/logon.jsp<\/code><\/p> 默认凭证<\/strong>：<\/p> admin\/(空)<\/li> websphere\/websphere<\/li> system\/manager<\/li> <\/ul> 2. Websphere攻击技术<\/h3> 获取WebShell<\/strong>：<\/p> 登录管理后台<\/li> 部署war应用<\/li> 注意上下文名称设置<\/li> 保存配置使其生效<\/li> <\/ol> 版本兼容性<\/strong>：<\/p> Websphere6仅支持Web应用2.3(需修改web.xml)<\/li> <\/ul> 六、GlassFish服务器安全分析<\/h2> 1. GlassFish基础信息<\/h3> 管理后台<\/strong>：http:\/\/localhost:4848<\/code><\/p> 默认凭证<\/strong>：<\/p> GlassFish2: admin\/adminadmin<\/li> GlassFish3\/4: 本地自动登录，远程需启用Secure Admin<\/li> <\/ul> 2. GlassFish攻击技术<\/h3> 通过管理后台部署war包获取WebShell<\/p> 七、通用攻击方法<\/h2> 1. 构建WebShell war文件<\/h3> 步骤<\/strong>：<\/p> 使用MyEclipse新建Web项目<\/li> 将jsp放入WebRoot目录<\/li> 导出项目为war文件<\/li> <\/ol> 2. 服务器识别技巧<\/h3> 检查默认管理页面<\/li> 分析响应头信息<\/li> 扫描常见端口<\/li> 检查错误页面特征<\/li> <\/ul> 3. 配置文件利用<\/h3> 查找数据源配置获取数据库凭证<\/li> 分析server.xml获取绑定域名和目录<\/li> 检查context.xml获取上下文配置<\/li> <\/ul> 八、防御建议<\/h2> 修改默认密码和禁用默认账户<\/li> 限制管理后台访问IP<\/li> 及时更新补丁修复已知漏洞<\/li> 禁用不必要的功能和端口<\/li> 加强文件上传和部署审核<\/li> 配置适当的访问控制策略<\/li> 启用HTTPS加密管理通道<\/li> 定期审计服务器配置和日志<\/li> <\/ol> 九、资源参考<\/h2> Tomcat版本选择：http:\/\/tomcat.apache.org\/whichversion.html<\/li> Tomcat Manager配置：http:\/\/tomcat.apache.org\/tomcat-7.0-doc\/manager-howto.html<\/li> Resin安全文档：http:\/\/www.caucho.com\/resin-3.1\/doc\/resin-security.xtp<\/li> Weblogic密码解密：http:\/\/drops.wooyun.org\/tips\/349<\/li> CVE漏洞数据库：http:\/\/cve.scap.org.cn<\/li> Sebug漏洞库：http:\/\/sebug.net<\/li> <\/ol>