当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088973

漏洞标题:机锋网某JBOSS中间件部署接口未删除

相关厂商:机锋网

漏洞作者: 路人甲

提交时间:2014-12-27 19:52

修复时间:2015-02-10 19:54

公开时间:2015-02-10 19:54

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-27: 细节已通知厂商并且等待厂商处理中
2014-12-27: 厂商已经确认,细节仅向厂商公开
2015-01-06: 细节向核心白帽子及相关领域专家公开
2015-01-16: 细节向普通白帽子公开
2015-01-26: 细节向实习白帽子公开
2015-02-10: 细节向公众公开

简要描述:

机锋网某JBOSS中间件部署接口未删除,存在安全隐患

详细说明:

http://data.gfan.com/invoker/JMXInvokerServlet/


Jboss在默认安装的时候,会安装http-invoker.sar站点,其web.xml配置如下:

1.jpg


可知当请求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet会调用org.jboss.invocation.http.servlet.InvokerServlet.class处理请求。该类对GET请求和POST请求,统一调用processRequest函数处理.

2.jpg


该漏洞主要原因是jboss直接获得客户端提交数据进行反序列化,获得对象,然后调用对象。

3.jpg


因此,攻击者需要自己构造一个jboss的类,并且将其序列化,然后将序列化的数据直接提交到存在漏洞站点的invoker/JMXInvokerServlet页面,恶意代码将会被执行。

漏洞证明:

sr $org.jboss.invocation.MarshalledValue晏嘌鬔袡  xpz     椰?sr (org.jboss.invocation.InvocationException蟃憹觿J L causet Ljava/lang/Throwable;xr java.lang.Exception旋>;?  xr java.lang.Throwable掌5'9w杆 L causeq ~ L 
detailMessaget Ljava/lang/String;[ 
stackTracet [Ljava/lang/StackTraceElement;xpq ~ pur [Ljava.lang.StackTraceElement;F*<<?9  xp   sr java.lang.StackTraceElementa	艢&6輩 I 
lineNumberL declaringClassq ~ L fileNameq ~ L 
methodNameq ~ xp   紅 0org.jboss.invocation.http.servlet.InvokerServlett InvokerServlet.javat processRequestsq ~ 	   謖 ~ q ~ t doGetsq ~ 	  it javax.servlet.http.HttpServlett HttpServlet.javat servicesq ~

修复方案:

删除改接口

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-12-27 22:53

厂商回复:

已处理,谢谢

最新状态:

暂无