Hace ya unos 7 años que existen herramientas automáticas para la explotación de servidores JBoss, incluso metasploit tiene un módulo para la detección y explotación.
Pero siguen apareciendo scripts que automatizan el proceso de: acceder al /jmx-console (versión 4, 5 y 6), /web-console/Invoker (v4) o /invoker/JMXInvokerServle (v4 y v5) y desplegar un war que permita ejecutar comandos.
... Y pese a que es sencillo hacerlo manualmente, más sencillo es con una sola línea de comandos.
Incluso tras los gusanos e incidentes que han ocurrido en todo este tiempo, las probabilidades de encontrar un servidor con Jboss en una una red local es muy alta.
Para mi gusto la forma más sencilla de buscar Jboss es el uso del parámetro -sV de Nmap e identificar aquellos que respondan con "Apache Tomcat/Coyote". Para vulnerabilidades concretas siempre se puede usar el correspondiente script, por ejemplo: http-vuln-cve2010-0738.nse, aunque no es el único CVE que existe y solo mostrará parte de la foto. Por supuesto, hay mil alternativas más, como cualquier herramienta de análisis de vulnerabilidades, metasploit, etc.
 |
| nmap en busca de jbosses perdidos. |
Para explotarlas, una opción actualizada recientemente es "jexboss" que he probado en una CentOS 6 con Jboss 6 y ha funcionado tal y como se esperaba. Esta utilidad también es una de las muchas que hay como son jboss autopwn, los módulos del "hasta en la sopa" Metasploit o los scripts de redteam pentesting.
Dejo un par de capturas para ver su aspecto, que por cierto, no tiene paquete en Kali.
 |
| Jexboss explotando un jmx-console en Jboss 6 |
 |
| Comando "ps" ejecutado en la consola interactiva de jexboss |
Referencias:
0 comments :
Publicar un comentario