阳光保险集团java反序列化命令执行两枚打包（写shell教程Linux）

 

漏洞标题	阳光保险集团java反序列化命令执行两枚打包（写shell教程Linux）
相关厂商	阳光保险集团
漏洞作者	进击的zjx
提交时间	2015-12-14 23:01
公开时间	2016-01-28 17:10
漏洞类型	命令执行
危害等级	高
自评Rank	15
漏洞状态	厂商已经确认
Tags标签

漏洞详情

0x01

http://111.203.203.24:8080/WebContent/addECPolicy/kuaisutoubao.jsp

阳光保险和易车一起做的投保系统

http://111.203.203.24:8080/ 存在默认的jboss界面

jboss中间件，存在JAVA反序列化命令执行漏洞！

上rebeyond大牛写的回显工具

执行whoami

 

ifconfig 内网IP

 

下面重点讲下写shell

工具默认情况Write

并没有成功，404

我们用JD-GUI反编译下rebeyond大牛写的工具，找到writeshell，默认"/"传到的路径是

./server/default/deploy/ROOT.WAR/shell.jsp

但是很多站并不一定把ROOT.WAR留在默认deploy里

我们用命令查看下

ls ../server/default/deploy

 

ROOT.war已经从默认deploy里移除

 

所以导致写shell失败

那么怎么写呢？

我们知道jboss默认界面是通过ROOT.war部署的index.html呈现的，也即根目录

那么find一下

find / -name ROOT.war

得到三个地址，经测试第二个是激活的正确配置路径

只需要得到的路径后+你shell的名字即可

done！

也可以写大马，地址

http://111.203.203.24:8080/she11.jsp

0x02

隔壁的站

http://111.203.203.25:8080/WebContent/addECPolicy/kuaisutoubao.jsp

同样的jboss，同样的命令执行写shell，一起修了吧

shell地址

http://111.203.203.25:8080/she11.jsp

漏洞证明：

 

修复方案：

两个一起打包交给你们了！