手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Apache axis远程命令执行漏洞预警

来源:本站整理 作者:佚名 时间:2019-07-09 TAG: 我要投稿

近日,深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebService接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。
axis 组件介绍
axis 全称Apache EXtensible Interaction System 即Apache可扩展交互系统。axis 为创建服务器端、客户端和网关SOAP等操作提供基本框架。axis 目前版本主要面向Java,面向C++的版本正在开发中。axis 并不完全是一个SOAP引擎,还可以作为一个独立的SOAP服务器和一个嵌入Servlet引擎(例如Tomcat)的服务器。
漏洞分析
漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。
漏洞复现
搭建axis 1.4+tomcat6的环境,将AdminService配置中的enableRemoteAdmin属性设置为true。
传入构造好的数据进行WebService发布,如下图:

再调用WebService接口传入命令并执行,如下图:
修复建议
1. 配置 URL 访问控制策略:部署于公网的 axis  服务器,可通过 ACL 禁止对/services/AdminService 及 /services/FreeMarkerService 路径的访问。2. 禁用 axis  远程管理功能:axis  目录下 WEB-INF 文件夹中的 server-config.wsdd 文件,将其中"enableRemoteAdmin"的值设置为false。
 

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目?#27169;?#24182;不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        杜塞尔多夫VS门兴 川崎前锋主教练 湖北11选5计划 西甲转播 天津快乐10分开奖走 金光佛透码必中论坛香港 香港六合彩 100元人民币换亚马逊币 悉尼fc上港 qq飞车手游头像