转载https://cloud.tencent.com/developer/article/2149191
前言
持续更新:整理下渗透测试工作中发现过的漏洞(包含漏洞描述、漏洞等级、漏洞验证、修复建议),这里不深究漏洞产生的各种后利用或者绕过方式,漏洞验证过程不局限于文章中的方法,能够证明漏洞存在即可。
0x01 漏洞描述
- Java RMI 远程代码执行 -
Java RMI服务是远程方法调用,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程Java对象,可以从另一个Java虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,使分布在不同的JVM中的对象的外表和行为都像本地对象一样。在RMI的通信过程中,默认使用序列化来完成所有的交互,如果该服务器Java RMI端口(默认端口1099)对公网开放,且使用了存在漏洞的Apache Commons Collections版本,就可以在该服务器上执行相关命令。
0x02 漏洞等级
|
威胁级别 |
高危 |
|
中危 |
|
低危 |
|
|---|
0x03 漏洞验证
使用Nmap工具对目标服务器端口扫描,探测发现Java RMI服务端口号。
# 指定默认端口探测命令
nmap -vv -sS -sV -p 1099 目标IP地址
# 全部端口探测命令
nmap -vv -sS -sV -p 1-65535 目标IP地址
探测结果
PORT STATE SERVICE REASON VERSION
1099/tcp open java-rmi syn-ack ttl 64 Java RMI复制
输入目标地址端口,使用工具远程执行系统命令。
- 工具链接: https://pan.baidu.com/s/1i4gatlzs9mAoCocyAmnHNw 提取码:
35cs
上述利用工具不支持多命令拼接执行,可以在vps上设置好监听地址后,使用如下方法反弹shell获取服务器权限。
0x04 漏洞修复
- 禁止在公网开放Java RMI服务的端口;
- 下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型
- 在不影响业务的情况下,临时删除掉项目里的InvokerTransformer.class文件;
- 对WebLogic、Apache、JBoss等中间件进行升级。
参考分析:https://www.freebuf.com/column/200796.html
