当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-031621

漏洞标题:中国电信某站点JBOSS任意文件上传漏洞

相关厂商:中国电信

漏洞作者: 在路上

提交时间:2013-07-23 10:41

修复时间:2013-09-06 10:42

公开时间:2013-09-06 10:42

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-23: 细节已通知厂商并且等待厂商处理中
2013-07-27: 厂商已经确认,细节仅向厂商公开
2013-08-06: 细节向核心白帽子及相关领域专家公开
2013-08-16: 细节向普通白帽子公开
2013-08-26: 细节向实习白帽子公开
2013-09-06: 细节向公众公开

简要描述:

中国电信某站点jboss漏洞

详细说明:

1.目标站点 http://125.69.112.239/login.jsp

1.jpg


2.简单测试 发现是jboss,HEAD请求头绕过失败,猜测弱口令失败,发现没有删除
http://125.69.112.239/invoker/JMXInvokerServlet
这个是jboss的另一个漏洞了.
3.大家都懂这里简单分析一下
Jboss在默认安装的时候,会安装http-invoker.sar站点,其web.xml配置如下:

2.jpg


可知当请求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet会调用org.jboss.invocation.http.servlet.InvokerServlet.class处理请求。该类对GET请求和POST请求,统一调用processRequest函数处理.

3.jpg


4.jpg


该漏洞主要原因是jboss直接获得客户端提交数据进行反序列化,获得对象,然后调用对象。
因此,攻击者需要自己构造一个jboss的类,并且将其序列化,然后将序列化的数据直接提交到存在漏洞站点的invoker/JMXInvokerServlet页面,恶意代码将会被执行。
牛人写了攻击代码:
可从http://www.hsc.fr/ressources/outils/jisandwis/download下载
学习后可以写出自己的利用工具(因为原工具有个功能有点问题,当然也可以直接使用msf)最主要原因自己写的可以随心所欲修改,可以批...,额废话太多,直接上图。

5.jpg


第一个功能是调用jboss的ServerInfo类的 OSVersion方法,可以获得系统版本信息。
第二个功能是调用jboss的DeploymentFileRepository类的 store方法,后面是其参数。
执行成功后,会获得shell。
4.shell路径
然后上传大马即可

6.jpg


权限还挺高
5.看到后门无数

7.jpg


漏洞证明:

1.留下验证
http://125.69.112.239/myname/index.jsp
2.别人的还在

修复方案:

删掉无用的包

版权声明:转载请注明来源 在路上@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-27 18:38

厂商回复:

CNVD确认漏洞所述情况,并向白帽子请教所述新的exp。拟于下周继续推进该案例的处置,拟通报中国电信集团公司。
rank 10

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-12 10:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    求EXP

  2. 2013-09-13 19:18 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @wefgod 怎么给你

  3. 2013-09-15 11:42 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    好像五颗星就是我给的啊……已经评价过

  4. 2013-10-05 17:13 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    求exp,邮箱1540433714@qq.com。非常感谢

  5. 2013-10-08 22:42 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @xx123 http://buchedan.org/download/jboss-exploit.zip放到这里了,自己下载吧

  6. 2013-10-09 00:16 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    @在路上 求密码,密码是好多啊

  7. 2013-10-09 20:10 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @xx123 buchedan.org

  8. 2013-10-14 13:15 | WooYun_Zhang ( 路人 | Rank:0 漏洞数:1 | I'm trying...)

    是不是程序写死了OSName 和OSVersion,可以直接查看别的信息吗?我只能执行这两个命令,返回操作系统server 2003和版本5.2,我想知道是不是误报

  9. 2013-10-14 13:16 | WooYun_Zhang ( 路人 | Rank:0 漏洞数:1 | I'm trying...)

    @在路上 是不是程序写死了OSName 和OSVersion,可以直接查看别的信息吗?我只能执行这两个命令,上传出错,我不懂JBoss,没看懂详细信息,返回操作系统server 2003和版本5.2,我想知道是不是误报

  10. 2013-10-14 19:28 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @WooYun_Zhang 1.这OSName 和OSVersion 是jboss提供的方法,jboss提供的方法有限,最好用的 是store和 远程部署war的 ,但是那两个方法利用其他的类,2.出错我也遇到过 是因为需要的类运行时错误了 ,没有找到解决方法3.返回的信息不是误报,是正确的

  11. 2014-02-12 14:54 | 小乐天 ( 实习白帽子 | Rank:64 漏洞数:14 | From KnownSec)

    正好遇到这样的一个问题,谢了

  12. 2014-06-22 16:21 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    感谢您提供的exp

  13. 2014-07-21 01:34 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)

    正好我也遇见了一个谢谢了

  14. 2014-12-24 13:05 | jk_影 ( 实习白帽子 | Rank:59 漏洞数:9 | 专注google三十年)

    远程部署shell是个问题啊,如果不给连外网就部署不了shell了,有办法直接部署一个吗

  15. 2015-01-13 00:13 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    @在路上 http://buchedan.org/download/jboss-exploit.zip失效了啊,求大牛共享一下下啊

  16. 2015-01-16 12:44 | 日月星辰 ( 路人 | Rank:20 漏洞数:10 | 关注于网络安全,贡献于网络安全,立志成为...)

    求此jboss exp 邮箱1023194472@qq.com非常感谢

  17. 2015-05-11 09:29 | 凌晨的星星 ( 路人 | Rank:6 漏洞数:5 | 入侵是偶然的,但安全一定不是必然的!)

    同求jboss exp,邮箱thomas702@126.com,非常感想~~~