阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)

 

漏洞标题 阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)
相关厂商 阳光保险集团
漏洞作者 进击的zjx
提交时间 2015-12-14 23:01
公开时间 2016-01-28 17:10
漏洞类型 命令执行
危害等级
自评Rank 15
漏洞状态 厂商已经确认
Tags标签  

漏洞详情

0x01

http://111.203.203.24:8080/WebContent/addECPolicy/kuaisutoubao.jsp

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第1张图片

阳光保险和易车一起做的投保系统

http://111.203.203.24:8080/ 存在默认的jboss界面

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第2张图片

jboss中间件,存在JAVA反序列化命令执行漏洞!

上rebeyond大牛写的回显工具

执行whoami

 

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第3张图片

ifconfig 内网IP

 

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第4张图片

下面重点讲下写shell

工具默认情况Write

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第5张图片

并没有成功,404

我们用JD-GUI反编译下rebeyond大牛写的工具,找到writeshell,默认"/"传到的路径是

./server/default/deploy/ROOT.WAR/shell.jsp

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第6张图片

但是很多站并不一定把ROOT.WAR留在默认deploy里

我们用命令查看下

ls ../server/default/deploy

 

ROOT.war已经从默认deploy里移除

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第7张图片

 

所以导致写shell失败

那么怎么写呢?

我们知道jboss默认界面是通过ROOT.war部署的index.html呈现的,也即根目录

那么find一下

find / -name ROOT.war

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第8张图片

得到三个地址,经测试第二个是激活的正确配置路径

只需要得到的路径后+你shell的名字即可

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第9张图片

done!

也可以写大马,地址

http://111.203.203.24:8080/she11.jsp

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第10张图片

0x02

隔壁的站

http://111.203.203.25:8080/WebContent/addECPolicy/kuaisutoubao.jsp

同样的jboss,同样的命令执行写shell,一起修了吧

shell地址

http://111.203.203.25:8080/she11.jsp

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)_第11张图片

漏洞证明:

 

修复方案:

两个一起打包交给你们了!

你可能感兴趣的:(安全实战)