常见中间件漏洞复现之【Jboss】!

Jboss介绍

JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可,可以在任何商业应⽤中免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域,JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss⼴为流⾏。
------------------------

CVE-2015-7501

Jboss JMXInvokerServlet 反序列化漏洞
---------------------

漏洞介绍

这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码
-----------------------

影响范围

JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
----------------------

环境搭建

cd vulhub-master/jboss/JMXInvokerServlet-deserialization
docker-compose up -d
----------------------

漏洞复现

搭建环境打开
.POC,访问地址
http://1.15.136.212:8080/invoker/JMXInvokerServlet
返回如下,说明接口开放,此接口存在反序列化漏洞

访问地址/invoker/JMXInvokerServlet自动下载如下文件

下载工具

GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.

将反弹shell进行base64编码

打开kali开始监听

---------------------------

漏洞修复

升级版本

----------------------------------

CVE-2017-7504

JBossMQ JMS 反序列化漏洞
-----------------

漏洞介绍

JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的
HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行
----------------

影响范围

JBoss 4.x 以及之前的所有版本
----------------

环境搭建

cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
----------------

漏洞复现

访问漏洞地址
http://1.15.136.212:8080/jbossmq-httpil/HTTPServerILServlet

使用jexboss.py获取shell

成功获取

-------------------------------------

CVE-2017-12149

JBoss 5.x/6.x反序列化漏洞

漏洞简述

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来⾃客户端的数据流进行反序列化,从而导 致了漏洞
-------------------

漏洞范围

JBoss 5.x/6.x
------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
-----------------

漏洞复现

访问漏洞页面,看jboss版本
http://1.15.136.212:8080

显示500证明存在漏洞

打开jboss反序列化软件 将网址放入 cmd内输入想执行的代码

---------------------

漏洞修复

1.不需要 http-invoker.sar 组件的⽤户可直接删除此组件。
2.添加如下代码⾄ http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件
进行访问控制:
3.升级新版本。
-----------------------------------

Administration Console弱口令

漏洞描述

Administration Console管理⻚⾯存在弱⼝令,`admin:admin`,登陆后台上传war包 , getshell
---------------------

影响版本

全版本
--------------------

环境搭建

因为这里用的环境是CVE-2017-12149的靶机
cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
-------------------

密码文件

/jboss-6.1.0.Final/server/default/conf/props/jmx-console-users.properties
账户密码:admin:vulhub
-------------------

漏洞复现

搭建好环境 进入
登录后台
admin vulhub

点击上传 上传一个木马文件

上传成功

访问jsp文件并用哥斯拉进行连接测试

-----------------------------------

低版本JMX Console未授权

低版本JMX Console未授权访问Getshell

漏洞描述

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到 jmx控制台,并在其中执⾏任何功能。
------------------

影响范围

Jboss4.x以下
------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
-------------------

漏洞复现

访问
http://1.15.136.212:8080/jmx-console/

点击左侧的deployment

在右边的输入框内输入下载的war地址然后点击invoke

提示成功证明上传成功

访问上传的war内的jsp用哥斯拉进行测试连接

-----------------------------------------

⾼版本JMX Console未授权

漏洞描述

JMX Console默认存在未授权访问,直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console页面, 通过部署war包 , getshell
------------------------

影响版本

Jboss6.x以下
------------------------

环境搭建

cd vulhub-master/jboss/CVE-2017-12149
docker-compose up -d
------------------------

漏洞复现

http://1.15.136.212:8080/jmx-console/
因为使用环境不存在该漏洞所以需要输⼊账户密码:admin admin

本地搭建部署点

进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏远程部署

用冰蝎生成jsp木马--->压缩到zip中--->改后缀名为.war

连接Webshell......

----------------------------

实战挖洞

FOFA语句

title=
"Welcome to JBoss AS" && country!="CN"
相关推荐
hzyyyyyyyu2 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院2 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Daniel 大东3 小时前
BugJson因为json格式问题OOM怎么办
java·安全
EasyNVR8 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash10 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑12 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang12 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang12 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎12 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全