rmi远程代码执行漏洞_[漏洞预警]CVE201912409/Apache Solr由于错误配置JMX RMI导致远程代码执行...

最新推荐文章于 2024-05-25 16:17:21 发布
最新推荐文章于 2024-05-25 16:17:21 发布
阅读量479 收藏
点赞数
文章标签: rmi远程代码执行漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30101051/article/details/112369634
版权

漏洞描述

近日安全研究人员JanHøydahl披露了Apache Solr的8.1.1和8.2.0发行版中的默认配置文件solr.in.sh,在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用受影响版本中的默认配置,那么将启用JMX监视服务并将对公网监听一个18983的RMI端口,且无需进行任何身份验证,配合JMX RMI将会导致远程代码执行.

CVE编号

CVE- 2019-12409

漏洞威胁等级

高危

影响范围

8.1.1和8.2.0

简单分析

我们可以使用自带的Jconsole访问JMX服务

61f921e09d94ef6296cb3967c353e049.png

而JMX RMI远程代码成因主要是由于远程客户端可以创建javax.management.loading.MLet MBean,并使用它通过任意URL创建新的MBean,滥用MBean即可造成远程代码执行.

攻击过程一般如下

  • 1.启动托管MLet和含有恶意MBean的JAR文件的Web服务器

  • 2.使用JMX在目标服务器上创建MBeanjavax.management.loading.MLet的实例

  • 3.调用MBean实例的getMBeansFromURL方法,将Web服务器URL作为参数进行传递。JMX服务将连接到http服务器并解析MLet文件

  • 4.JMX服务下载并归档MLet文件中引用的JAR文件,使恶意MBean可通过JMX获取

  • 5.攻击者最终调用来自恶意MBean的方法

这个攻击思路来源于n0tr00t参加阿里的一次CTF大赛.我们除了可以使用msf攻击JMX RMI,还可以使用mjet

bf27348614668d96439dec51b5dd3442.png

修复建议

修改bin/solr.in.sh配置文件中ENABLE_REMOTE_JMX_OPTSfalse

0a17d1ded2901c7105205061bfacbcb7.png

时间轴

[0] 2019/11/18 NVD发布该漏洞
[1] 2019/11/19 亚信安全网络攻防实验室研究并复现该漏洞发布漏洞预警

Reference

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12409
https://nosec.org/home/detail/2544.html
https://www.n0tr00t.com/2015/04/17/JMX-RMI-Exploit-Demo.html
https://github.com/mogwailabs/mjet

曹舟力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
solr 代码执行 (CVE-2019-12409)
千寻的博客
03-23 2214
Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。是apache的顶级开源项目,使用java开发 ,基于lucene的全文检索服务器。 Java ManagementExtensions(JMX)是一种Java技术,为管理和监视应用程序、系统对象、设备(如打印机)和面向服务的网络提供相应的工具。JMX 作为 Java的一种Bean管理机制,如果JMX服务端口暴露,那么远程攻击者可以让该服务器远程加载恶意的Bean文件,随着Bean的滥用导致远程代码执行
【vulfocus漏洞复现-初级】solr 代码执行 (CVE-2019-12409)
ll_515的博客
01-20 1995
Apache Solr受影响的版本8.1.1和8.2.0在solr.in.sh配置文件中默认开启了ENABLE_REMOTE_JMX_OPTS配置项,即允许远程加载JMX导致远程代码执行
[CVE-2019-12409] Apache Solr JMX RCE
公众号shadow sock7
02-24 780
参考: https://github.com/jas502n/CVE-2019-12409 只影响8.1.1和8.2.0。 下载: git clone https://github.com/mogwailabs/mjet 利用: [master][~/GitProjects/mjet]$ java -jar ~/downloads/jython-standalone-2.7.1.jar mje...
攻击基于RMIJMX服务
公众号shadow sock7
02-19 429
参考: https://mogwailabs.de/blog/2019/04/attacking-rmi-based-jmx-services/ JMX is often described as the “Java version” of SNMP (Simple Network Management Protocol). JMX被看作是Java版的SNMP。 虽然大部分公司只用了JMX的监控...
(环境搭建+复现)CVE-2019-12409 Apache Solr远程代码执行漏洞
daxi0ng的博客
03-16 3064
【CVE编号】 CVE-2019-12409 【漏洞名称】 Apache Solr远程代码执行漏洞 1【靶标分类】 web中间件漏洞 2【漏洞分类】 命令执行 3【漏洞等级】 高 4【漏洞简介】 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件...
漏洞复现】CVE-2019-12409 Apache Solr RCE 漏洞复现利用、开启ufw防火墙进行防御 【实验报告】
最新发布
Thmos_vader的博客
05-25 741
这就是iptables的目的。默认的配置文件solr.in.sh的选项ENABLE_REMOTE_JMX_OPTS字段值被设置为”true”,这会启用JMX监视服务并会在公网中监听一个18983的RMI端口,没有任何认证,也就是说在无需身份验证情况下,攻击者结合使用JMX RMI就会造成远程代码攻击。可以通过“打开”或“关闭”(即过滤)为特定类型的流量指定的端口来允许或阻止流向特定应用程序的流量。进出计算机的流量通过“端口”进行过滤,“端口”是附加到供特定应用程序使用的流量数据包的相对任意的名称。
rmi远程代码执行漏洞_JavaRMI服务远程方法调用漏洞如何修复lin
weixin_39872893的博客
12-22 1490
展开全部背景要求:62616964757a686964616fe58685e5aeb931333433623135定时监控远程主机上mongodb数据库内存使用的情况,当内存使用过大时暂停逻辑处理线程后启动内存空间的释放处理线程,释放完成后再启动逻辑处理线程。操作系统:CentOS64bit(Linux)步骤(代码省略):1.创建Socket远程服务器2.创建客户端配置:#查找对象stub端口RM...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
RMI.rar_Java RMI_java.rmi_java.rmi.Remot_remote
09-20
远程接口定义了可以在远程对象上执行的操作,它继承了`java.rmi.Remote`接口。这个接口不包含任何方法,但它是所有远程接口的基类,用来标记这些接口为远程可调用。远程对象是实现了远程接口的具体类,它实现了接口...
rmi.rar_Java RMI_RMI java_RMI policy.all_rmi
09-23
在“rmi.rar”这个压缩包中,我们可以找到与Java RMI相关的资料,可能包括示例代码配置文件等。描述中提到的"java rmi例子"表明其中可能包含了一个或多个实际的RMI应用实例,这对于学习和理解RMI的工作原理非常有...
rmi.zip_Java RMI_java rmi网络_java源代码 RMI
09-22
1. **远程接口(Remote Interface)**:这是定义远程方法的接口,必须继承自java.rmi.Remote接口。远程接口中的每个方法都必须抛出java.rmi.RemoteException。 2. **远程实现(Remote Implementation)**:实现了...
Apache Solr 远程命令执行漏洞(CVE-2019-12409)
whojoe的博客
07-06 2110
Apache Solr 远程命令执行漏洞(CVE-2019-12409)前言环境搭建漏洞复现参考文章 前言 影响Apache Solr 8.1.1到8.2.0版本 环境搭建 启动docker systemctl start docker 获取vulhub git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git 进入对应目录 cd vulhub/solr/CVE-2019-17558/ 修改配置 docker-compose
JAVA_RMI反序列化远程命令执行漏洞验证
qq_44828901的博客
12-29 5225
简单复现 JAVA RMI反序列化
Apache Solr 8.1.1和8.2.0版本 JMX服务远程代码执行漏洞(CVE-2019-12409)
weixin_44047654的博客
02-14 609
Apache Solr 8.1.1和8.2.0版本 JMX服务远程代码执行漏洞(CVE-2019-12409)
Apache Solr错误默认配置导致的RCE(CVE-2019-12409)
黑白的博客
11-22 541
声明 好好学习,天天向上 漏洞描述 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在不安全的选项ENABLE_REMOTE_JMX_OPTS=“true”。如果受害者使用了该默认配置,则会在默认端口18983开放JMX服务,且默认未开启认证。任何可访问此端口的攻击者可利用此漏洞向受影响服务发起攻击,执行任意代码。 ​ 建议快速响应,将solr.in.sh配置文件中的ENABLE_REMOTE_JMX_OPTS选项设置为false,然后重启Solr服务。 影响范围
漏洞预警Apache Solr由于错误默认配置导致的RCE(CVE-2019-12409)
NOSEC2019的博客
11-19 909
近日,白帽汇安全研究院发现网络上出现针对Apache Solr服务器的远程代码执行漏洞。 该漏洞是在受影响的版本中,默认情况下配置文件solr.in.sh的配置选项ENABLE_REMOTE_JMX_OPTS字段值是“true”,这会启用JMX监视服务并会在公网中监听一个18983的RMI端口,没有任何认证。也就是说在无需身份验证情况下,攻击者结合使用JMX RMI就会造成远程代码攻击。 概况...
Jmeter RMI 反序列化命令执行漏洞
m0_63241485的博客
08-26 881
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload;由于其中部分payload使用到的低版本JDK中的类,所以建议使用低版本JDK .
执行sh文件_【漏洞通告】Apache Solr远程代码执行漏洞
weixin_39581972的博客
11-24 196
1.综述Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Solr存在远程代码执行漏洞,该漏洞源于默认配置文件solr.in.sh中包含ENABLE_REMOTE_JMX_OPTS配置选项的不安全设置。2.漏洞概述漏洞类型:远程代码执行漏洞危险等级: 高危受影响系统: ...
rmi远程代码执行漏洞_【漏洞预警Apache Solr Deserialization 远程代码执行漏洞(CVE20190192)...
weixin_39600328的博客
01-05 197
近日,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置SolrJMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触...
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
好的,我知道你的问题了。针对你提到的这个问题,我可以给你一些解释和分析。 首先,RMI(Remote Method Invocation)是Java远程调用机制的一种实现方式,它允许在不同的JVM进程之间进行Java对象的传输和远程调用。而反序列化(Deserialization)是将二进制数据转换为Java对象的过程。在Java中,对象的序列化和反序列化是通过ObjectInputStream和ObjectOutputStream类来实现的。 RMI远程反序列化RCE漏洞是指,攻击者可以通过构造恶意的序列化数据,使得服务端在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的根本原因在于Java序列化机制的设计缺陷,攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。 而Spring框架的反序列化远程代码执行漏洞,则是指攻击者可以通过构造恶意的序列化数据,使得Spring框架在反序列化时执行恶意代码,从而导致远程代码执行漏洞。这个漏洞的影响范围非常广泛,涵盖了Spring框架的多个版本,包括Spring MVC、Spring WebFlow、Spring Data等。 总的来说,RMI远程反序列化RCE漏洞和Spring框架的反序列化远程代码执行漏洞都是Java序列化机制的设计缺陷所导致的安全漏洞。攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。因此,在开发Java应用程序时,需要注意对序列化和反序列化数据的处理,避免出现安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值