中国电信某站点JBOSS任意文件上传漏洞

1.目标站点 http://125.69.112.239/login.jsp

2.简单测试 发现是jboss，HEAD请求头绕过失败，猜测弱口令失败，发现没有删除

http://125.69.112.239/invoker/JMXInvokerServlet

这个是jboss的另一个漏洞了.

3.大家都懂这里简单分析一下

Jboss在默认安装的时候，会安装http-invoker.sar站点,其web.xml配置如下：

可知当请求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet会调用org.jboss.invocation.http.servlet.InvokerServlet.class处理请求。该类对GET请求和POST请求，统一调用processRequest函数处理.

该漏洞主要原因是jboss直接获得客户端提交数据进行反序列化，获得对象，然后调用对象。

因此，攻击者需要自己构造一个jboss的类，并且将其序列化，然后将序列化的数据直接提交到存在漏洞站点的invoker/JMXInvokerServlet页面，恶意代码将会被执行。

牛人写了攻击代码:

可从http://www.hsc.fr/ressources/outils/jisandwis/download下载

学习后可以写出自己的利用工具(因为原工具有个功能有点问题,当然也可以直接使用msf)最主要原因自己写的可以随心所欲修改，可以批…,额废话太多，直接上图。

第一个功能是调用jboss的ServerInfo类的 OSVersion方法，可以获得系统版本信息。

第二个功能是调用jboss的DeploymentFileRepository类的 store方法，后面是其参数。

执行成功后，会获得shell。

4.shell路径

然后上传大马即可

权限还挺高

5.看到后门无数

漏洞证明：

1.留下验证

http://125.69.112.239/myname/index.jsp

2.别人的还在

中国电信某站点JBOSS任意文件上传漏洞

相关厂商： 中国电信

漏洞作者： 在路上

提交时间： 2013-07-23 10:41

公开时间： 2013-09-06 10:42

漏洞类型： 文件上传导致任意代码执行

危害等级： 中

自评Rank： 8

漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org