最近赶论文又上班忙飞了,都没空更新公众号,这周总算是把初稿弄好了。正好这周项目里遇到一个好玩的利用,跟大家分享一下。(原谅重码了,我还是很珍惜这份工作的)
前情提要
在对客户做资产梳理的时候,发现开启了一个从来没见过的服务:
有一端口开放了一个JDWP服务,不太懂,搜了一下,发现似乎是可以进行无回显RCE的!
有搞头,开搞!
翻阅文章,大概了解后,开始上手!
首先在Github上下了一个python2的POC:
https://github.com/IOActive/jdwp-shellifier
相当古老的POC了说是,但是依然非常管用的
直接开干!
命令成功执行,为了提升一下危害RANK,去做反弹shell,万一是个root权限岂不是美滋滋~
继续用这个工具去反弹shell的话需要做文件写入式反弹shell,我前面也有分享过一次这个技巧,感兴趣的师傅可以去看一下:
漏洞复现——CVE-2018-19518 PHP imap远程命令执行漏洞
然后这里直接用MSF上的JDWP攻击模块去打
这里尝试了反弹shell的payload连不上,遂选择正向shell的payload:
RUN!
太好啦!是root!
然后就常规翻翻,找到了备份的配置文件,翻到了数个ssh和mysql的账户密码,这里就不放图了
最搞的是,这个资产甚至把3306也放公网上了,直接抄起我的Navicat就是连!
翻了翻发现涉及了很多敏感数据,这下RANK直接拉满了。点到为止,直接交报告~
总结
回想起来还是觉得挺离谱的,这开发也是神人了。最近项目也多,遇到好玩的有意思的,我有机会都会分享给大家。技术不精,大佬轻喷~
原文始发于微信公众号(咸苹果学安全):实战分享——离谱的JDWP服务导致接管服务器与数据库
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论