Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

JBoss 常见漏洞 弱口令与反序列化

wpadmin~October 31, 2018 /InfoSec

JBoss 常见漏洞 弱口令与反序列化

基本说明

JBoss 是一个广泛使用的 Java 应用服务器。
JBoss 的默认端口一般有 8080 和 9990 (7.0 及以上版本 9990)。

常见漏洞

1 jmx-console 弱口令导致 getshell
2 admin-console 弱口令导致 getshell
3 CVE-2013-4810 JMXInvokerServlet, EJBInvokerServlet 远程命令执行漏洞
4 JBoss Java 反序列化漏洞
(JBoss 5,6)

漏洞利用

admin-console

部署 Web Application (WAR)s > Add new resource

反序列化

反序列化主要影响 JBoss 5.x 和 6.x

http://127.0.0.1:8080/invoker/JMXInvokerServlet

利用工具
JAVA Unserialization GetShell&CMD Exploit by rebeyond

问题修复
删除 deploy 目录下的 http-invoker.sar 文件。

漏洞危害

1 部署恶意 web 后门 ( webshell, war 包) 执行任意代码
2 控制 web 服务器,并进行内网渗透

演示环境 jboss 6.1.0

日志特征

1 监控日志文件
2 监控 deploy 目录

监控日志文件

日志路径
jboss-6.1.0.Final/server/default/log/server.log

关键字 主要指攻击者部署 恶意 war 包时的特征

DeployHandler
org.jboss.deployment.MainDeployer
org.jboss.profileservice.management.upload
org.jboss.as.server.deployment

监控 deploy 目录

另外也可以监控部署目录
jboss-6.1.0.Final/server/default/deploy

漏洞修复 (汇总)

1 为 jmx-console, admin-console 设置复杂的密码
2 删除 JMXInvokerServlet, EJBInvokerServlet (http-invoker.sar)
3 尽可能使用 JBoss AS 7.x 及以上版本

参考资料

Jboss 弱密码及反序列化漏洞
https://edu.aqniu.com/course/4911/task/122329/show

Leave a Reply

Your email address will not be published. Required fields are marked *