WAR文件信息泄露及利用

发布时间:2021-05-19编辑:佚名阅读(1253)

war简介

WAR文件常见于Java应用中,WAR文件和JAR文件的文件格式是一样的,并且都是使用jar命令来创建,但就其应用来说,WAR文件和JAR文件是有根本区别的。JAR文件的目的是把类和相关的资源封装到压缩的归档文件中,而对于WAR文件来说,一个WAR文件代表了一个Web应用程序,它可以包含 Servlet、HTML页面、Java类、图像文件,以及组成Web应用程序的其他资源,而不仅仅是类的归档文件。

如果一个Web应用程序的目录和文件非常多,那么将这个Web应用程序部署到另一台机器上,全部复制过去,在复制过程中如果出现意外,非常麻烦!设计者想到了一个方法即将Web应用程序打包成Web 归档(WAR)文件,这个过程和把Java类文件打包成JAR文件的过程类似。利用WAR文件,可以把Servlet类文件和相关的资源集中在一起进行发布。在这个过程中,Web应用程序就不是按照目录层次结构来进行部署了,而是把WAR文件作为部署单元来使用。一个WAR文件就是一个Web应用程序,建立WAR文件,就是把整个Web应用程序(不包括Web应用程序层次结构的根目录)压缩起来,指定一个.war扩展名。一般是在在产品发布阶段使用WAR文件,在这个阶段基本不会对程序进行修改。

WAR文件信息泄露及利用思路

WAR文件信息泄露是指部署的war文件由于配置不当,导致其整个包文件以及其它重要配置文件信息泄露,例如可以直接浏览目录,获取其下面的数据库配置文件:WEB-INF/jdbc.properties,jdbc.properties为数据库连接配置文件,其中包含数据库连接的账号和密码等重要信息,在有些java应用中可能配置有邮箱账号和密码等敏感信息,笔者曾经在某大型网络中还见过将windows操作系统账号和密码写进配置文件,一旦这些文件信息泄露,将导致严重的安全隐患。如图所示,在该配置文件中包含了邮箱帐号和密码等信息。

重要的配置文件

java一般其重要配置文件位于其对应WEB-INF目录下,常见的重要配置文件有:

config/config.properties

configure/configure.properties

applicationContext.xml

sysconfig.properties

web.xml

config.xml

jdbc.properties

利用思路

(1)通过配置文件寻找真实路径信息。

(2)通过配置文件获取邮箱帐号和密码信息,包含邮箱帐号和密码的配置文件,其邮箱帐号99%都可以登录成功。登录邮件后可以对其邮箱信件内容进行查看,可以进行apt攻击等。

(3)获取配置文件中的数据库连接信息,如果外网或者内网能够访问数据库端口,则可以直接连接数据库,操作和管理数据库,甚至进行服务器提权。

(4)其它重要信息。获取一些有助于进一步渗透到url等配置信息。

war信息泄露获取方法

(1)目录信息泄露,直接访问其相应的目录可以获取

(2)扫描软件扫描获取。通过一些漏洞扫描工具,通过扫描即可获取。

(3)通过shadon、zoomeye、fofa漏洞搜索引擎对关键字进行搜索

    关键字: WAR 文件 信息 泄露 利用


鼓掌

0

正能量

0

0

呵呵

0


评论区