menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right (CVE-2007-1036)JBoss JMX Console HtmlAdaptor Getshell chevron_right (CVE-2007-1036)JBoss JMX Console HtmlAdaptor Getshell.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    (CVE-2007-1036)JBoss JMX Console HtmlAdaptor Getshell.md
    1.34 KB / 2021-07-15 19:54:09
        (CVE-2007-1036)JBoss JMX Console HtmlAdaptor Getshell
=======================================================

一、漏洞简介
------------

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到jmx控制台,并在其中执行任何功能。该漏洞利用的是后台中jboss.admin
-\> DeploymentFileRepository -\>
store()方法,通过向四个参数传入信息,达到上传shell的目的,其中arg0传入的是部署的war包名字,arg1传入的是上传的文件的文件名,arg2传入的是上传文件的文件格式,arg3传入的是上传文件中的内容。通过控制这四个参数即可上传shell,控制整台服务器。但是通过实验发现,arg1和arg2可以进行文件的拼接,例如arg1=she,arg2=ll.jsp。这个时候服务器还是会进行拼接,将shell.jsp传入到指定路径下

二、漏洞影响
------------

全版本

三、复现过程
------------

输入url:<http://172.26.1.169:8080/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.admin%3Aservice%3DDeploymentFileRepository>,定位到store方法

![](./resource/(CVE-2007-1036)JBossJMXConsoleHtmlAdaptorGetshell/media/rId25.png)

传入相应的值,即可getshell

![](./resource/(CVE-2007-1036)JBossJMXConsoleHtmlAdaptorGetshell/media/rId26.png)
    links
    file_download