常见中间件漏洞复现之【Jboss】!

Jboss介绍

JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可,可以在任何商业应⽤中免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域,JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss⼴为流⾏。
------------------------

CVE-2015-7501

Jboss JMXInvokerServlet 反序列化漏洞
---------------------

漏洞介绍

这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码
-----------------------

影响范围

JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
----------------------

环境搭建

cd vulhub-master/jboss/JMXInvokerServlet-deserialization
docker-compose up -d
----------------------

漏洞复现

搭建环境打开
.POC,访问地址
http://1.15.136.212:8080/invoker/JMXInvokerServlet
返回如下,说明接口开放,此接口存在反序列化漏洞

访问地址/invoker/JMXInvokerServlet自动下载如下文件

下载工具

GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.

将反弹shell进行base64编码

打开kali开始监听

---------------------------

漏洞修复

升级版本

----------------------------------

CVE-2017-7504

JBossMQ JMS 反序列化漏洞
-----------------

漏洞介绍

JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的
HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行
----------------

影响范围

JBoss 4.x 以及之前的所有版本
----------------

环境搭建

cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
----------------

漏洞复现

访问漏洞地址
http://1.15.136.212:8080/jbossmq-httpil/HTTPServerILServlet

使用jexboss.py获取shell

成功获取

-------------------------------------

CVE-2017-12149

JBoss 5.x/6.x反序列化漏洞

漏洞简述

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来⾃客户端的数据流进行反序列化,从而导 致了漏洞
-------------------

漏洞范围

JBoss 5.x/6.x
------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
-----------------

漏洞复现

访问漏洞页面,看jboss版本
http://1.15.136.212:8080

显示500证明存在漏洞

打开jboss反序列化软件 将网址放入 cmd内输入想执行的代码

---------------------

漏洞修复

1.不需要 http-invoker.sar 组件的⽤户可直接删除此组件。
2.添加如下代码⾄ http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件
进行访问控制:
3.升级新版本。
-----------------------------------

Administration Console弱口令

漏洞描述

Administration Console管理⻚⾯存在弱⼝令,`admin:admin`,登陆后台上传war包 , getshell
---------------------

影响版本

全版本
--------------------

环境搭建

因为这里用的环境是CVE-2017-12149的靶机
cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
-------------------

密码文件

/jboss-6.1.0.Final/server/default/conf/props/jmx-console-users.properties
账户密码:admin:vulhub
-------------------

漏洞复现

搭建好环境 进入
登录后台
admin vulhub

点击上传 上传一个木马文件

上传成功

访问jsp文件并用哥斯拉进行连接测试

-----------------------------------

低版本JMX Console未授权

低版本JMX Console未授权访问Getshell

漏洞描述

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到 jmx控制台,并在其中执⾏任何功能。
------------------

影响范围

Jboss4.x以下
------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
-------------------

漏洞复现

访问
http://1.15.136.212:8080/jmx-console/

点击左侧的deployment

在右边的输入框内输入下载的war地址然后点击invoke

提示成功证明上传成功

访问上传的war内的jsp用哥斯拉进行测试连接

-----------------------------------------

⾼版本JMX Console未授权

漏洞描述

JMX Console默认存在未授权访问,直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console页面, 通过部署war包 , getshell
------------------------

影响版本

Jboss6.x以下
------------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
------------------------

漏洞复现

http://1.15.136.212:8080/jmx-console/
因为使用环境不存在该漏洞所以需要输⼊账户密码:admin admin

本地搭建部署点

进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏远程部署

用冰蝎生成jsp木马--->压缩到zip中--->改后缀名为.war

连接Webshell......

----------------------------

实战挖洞

FOFA语句

title=
"Welcome to JBoss AS" && country!="CN"
相关推荐
hikktn6 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon8 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon8 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔9 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
棱角~~11 小时前
盘点和嗨格式一样好用的10款数据恢复!!
数据库·经验分享·安全·电脑·学习方法
NETFARMER运营坛12 小时前
如何优化 B2B 转化率?这些步骤你不可不知
大数据·安全·阿里云·ai·ai写作
安徽京准12 小时前
京准时钟:无人机卫星信号安全防护隔离装置
安全·无人机·信号安全防护装置·卫星安全隔离装置·北斗授时安全隔离·北斗对时防护隔离装置
mingzhi6112 小时前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
Coding~13 小时前
NewStar easygui re wp
安全
23zhgjx-zgx13 小时前
以太网交换安全:DHCP Snooping
linux·服务器·网络·安全·华为