安全关乎全局——WebSphere配置不当

1 引言

    IBM WebSphere Application Server（WAS）是 IBM WebSphere 软件平台的基础和面向服务的体系结构的关键构件。WebSphere Application Server 提供了一个丰富的应用程序部署环境，其中具有全套的应用程序服务，包括用于事务管理、安全性、群集、性能、可用性、连接性和可伸缩性的功能。它与 Java EE 兼容，并为可与数据库交互并提供动态 Web 内容的 Java 组件、XML 和 Web 服务提供了可移植的 Web 部署平台。

    这意味着 WAS 为部署应用程序、管理应用程序资源要求、确保应用程序的可用性、保护和与其他应用程序及其资源要求的隔离以及监视和保护应用程序提供了支持。

    目前 IBM 推出的 WAS 版本是 V7，该产品是基于 Java EE 5 认证的，支持 EJB 3.0 技术的应用程序平台，它交付了安全、可伸缩、高性能的应用程序基础架构，这些基础架构是实现 SOA 所需要的，从而提高业务灵活性。但也正是因为其功能的多样和强大而导致安全性也随之变得更加重要。

2 渗透过程

2.1 漏洞扫描、端口扫描

    在渗透的开始先是进行相关信息的收集，信息收集包括漏洞扫描、端口扫描、管理员相关信息等等。这里使用了Acunetix Web Vulnerability Scanner 7简称WVS和IBM Rational AppScan 7.8对目标网站进行了扫描，如（图1）和（图2）。

（图1）

 
（图2）

2.2 进行渗透
    从WVS的端口扫描中看到该服务器只开放了80端口（图3），从错误信息中看到该网站使用的是DB2数据库（图4）。发现了robots.txt却是空的（图5）。手工测试也没有发现注入之类的漏洞。只能一个一个目录地翻下去找找有没有什么漏洞了。

    最后“IBM WebSphere Application Server 文件泄露”这个漏洞却起到了作用，存在这个漏洞的网站当攻击者发送格式异常的 HTTP 请求来强制 Web 服务器返回文件，如http://www.xxx.com/./WEB-INF/web.xml   ，便有可能检索特定目录中的文件。攻击者可以利用这个问题来获取关于服务器机器的敏感信息，从而进一步攻击站点。通过这个漏洞获取了WAS的web.xml文件，里面发现了一个敏感的目录——fckeditor（图6）。

    FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化，不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合。“FCKeditor”名称中的 “FCK” 是这个编辑器的作者的名字Frederico Caldeira Knabben的缩写。

    FCKeditor 相容于绝大部分的网页浏览器，像是 : Internet Explorer 5.5+ (Windows)、Mozilla Firefox 1.0+、Mozilla 1.3+ 、Netscape 7+以及Opera浏览器。FCKeditor 的安装非常容易!最新版本可以在这里下载!所见即所得编辑器是很容易使用的工具! FCKeditor使用的非常广泛，在很多类型的网站程序中都可以看到它，但是在各种语言的FCKeditor的多个版本里面都存在着高危漏洞。

（图3）

（图4）

 
（图5）

 
（图6）

2.3 利用漏洞拿下权限

    利用“IBM WebSphere Application Server 文件泄露”这个漏洞下载了WebSphere Application Server 的配置文件web.xml，从web.xml发现FCKeditor的路径：http://www.xxx.com/main/js/fckeditor/（图8）。

    还需要构造出能够利用的URL地址，测试默认的地址访问成功（图9）：http://www.xxx.com/main/js/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/ 。/files/web/8/content/Image/这个目录是存放上传文件的。

    测试FCKeditor上传文件的地址成功（图10）：http://www.xxx.com/main/js/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector 然后直接从这里上传一个JSP的webshell，即可拿到了网站的权限（图11），从这个WEBSHELL中就可以直接系统权限，执行whoami一看发现已经是root权限了（图12）。

（图7）

（图8）

（图9）

（图10）

（图11）

3 修补与加固

    应用 APAR PK81387 或 eWAS（WASEmbeded）的修订包 6.1.0.23。请参阅供应商建议以获取详细信息，网址为：http://www-01.ibm.com/support/docview.wss?uid=swg21380376。。

4结束语

    安全关乎全局，只要有一点缺陷都可能导致整个系统面临威胁！先是IBM WebSphere Application Server配置不当泄露了重要的文件，然后FCKeditor的配置也不安全，直接可以上传恶意文件，最后发现网站居然是用root权限来运行的，从网站权限可以直接拿到系统权限！所有说信息安全不容忽略任何一点！