jboss介绍
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。
特征判断
JBoss JMXInvokerServlet 反序列化漏洞
经典的JBoss反序列化漏洞,JBoss在
/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。
访问http://ip+端口/invoker/JMXInvokerServlet 如果出现下载提示框,就证明可能存在漏洞。
Boss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
该漏洞出现在
/jbossmq-httpil/HTTPServerILServlet
请求中
jbossmq-httpil/HTTPServerILServlet,
如果出现该页面就表示可能存在漏洞
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
该漏洞出现在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化
访问http://ip+端口/invoker/JMXInvokerServlet如果出现该页面,则表示可能存在漏洞。
漏洞复现
环境搭建
kali:192.168.80.128
启动docker systemctl start docker
下载jboss
这里是下载了一个靶机
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master
下载完成之后解压
找到jboss目录打开,在CVE-2017-7504目录下打开终端,使用命令docker-compose up -d
使用命令 docker ps -a 查看jboss已开启
访问本地的8080端口
漏洞利用
下载漏洞利用工具
指路(也可以找别的):GitHub - joaomatosf/jexboss
工具介绍和使用参考:JexBoss - JBoss (和其他 Java 反序列化漏洞) 验证和更新工具 - 知乎 (zhihu.com)
1.下载解压后,在jexboss-master文件夹下打开终端,使用命令:pip install -r requires.txt 安装需要的依赖包
2.使用命令:python jexboss.py -u 目标机器ip:端口
3.这里输入yes
4.等待一下获得shell就ok啦
版权归原作者 Z_Aing 所有, 如有侵权,请联系我们删除。