惠普网络自动化(惠普NA)软件,可用于Windows或Linux”,自动从配置网络设备的完整生命周期操作基于策略的变更管理、合规、安全管理”。在写检查这个软件远程版本,站得住脚的TCP端口6099上发现了一个暴露RMI服务。根据最近的Java反序列化漏洞通过RMI接口,快速检查是为了看看这个软件也是脆弱的。剧透:。
暴露RMI注册表
安装后,惠普NA管理服务器上打开了一个监听套接字TCP端口6099。Cygwin巫术:
美元netstat ab活性连接原型本地地址外国地址状态[. .[java.exe]] TCP 0.0.0.0:6099 WIN-45AKP1004KU: 0听
监听套接字绑定到0.0.0.0,这意味着它监听所有接口。端口6099并不是标准RMI注册中心港口,调查一些惠普NA的代码你可以观察这个代码片段:
int port = Config.getConfig ()。get(“游泳/ SWIMServer /端口”,6099);LocateRegistry.createRegistry(港口);注册表= LocateRegistry.getRegistry(港口);
上面清楚地表明一个RMI注册监听端口6099。来验证,你可以使用站不住脚的rmiregistry_detect.nasl插件:
- - - - - - - - - - -[执行。/ rmiregistry_detect。极佳]- - - - - -Here is a list of objects the remote RMI registry is currently aware of : rmi://192.168.1.11:49216/SWIMServer ----------[ Finished ./rmiregistry_detect.nasl ]------
上周基于http的反序列化的攻击是如此。
Java反序列化的漏洞
Java反序列化的漏洞并不新鲜,但一直谈到最近由于毛地黄安全臭名昭著的文章中,“什么服务器,WebSphere, JBoss,詹金斯,和您的应用程序有何共同之处?这个漏洞”11月6日,2015年出版。本文讨论了远程代码执行各种产品使用序列化的Java对象。在写这篇文章的时候,最受欢迎的发布对象用于反序列化攻击可以在GitHub项目”yososerial”。最知名的对象利用公共库集合,例如Apache Commons Groovy,春天。
RMI协议特别容易受到反序列化的攻击,因为协议是专门精心设计在远程操纵Java对象。所有未经过身份验证的攻击者需要的是找到一个脆弱的库,可用于开发。对于惠普NA的RMI注册远程攻击者访问两个库,允许他们实现远程代码执行通过序列化的对象:
- Commons-Collections
- Commons-BeanUtils
为了利用RMI注册你使用邪恶的对象绑定到它ysoserial生成的。这些邪恶的对象库中滥用可序列化的对象以及Java的代理和反射机制为了执行一个命令通过Runtime.exec ()。
概念验证
这个漏洞可以很容易地通过使用验证ysoserial的RMIRegistryExploit.java。这是对OpenNMS毛地黄安全使用的相同的技术文章和他们有一个非常简单的写如何使用它。然而,上面需要一些配置和Java技术所以站得住脚的撰写与供应商共享两个PoC脚本
。
第一个PoC,commons_collections_mkdir.py,使用ysoserial的CommonCollections3(org.apache.commons.collections.functors.InstantiateTransformer)利用远程服务器并创建目录”C:\Users\Public\ commons_collections_exploit”。要使用该脚本,只需通过命令行一样的服务器地址:
lobster@nephropidae: ~ / hp_na_rmi python commons_collections_mkdir美元。py 192.168.1.11(+)连接到RMI注册192.168.1.11:6099[+]启动JRMI握手[+]发送共享收藏利用负载[+]成功!
第二个PoC,commons_beanutils_mkdir.py,使用ysoserial的CommonBeanutils1(org.apache.commons.beanutils.BeanComparator)利用远程服务器并创建目录”C:\Users\Public\ commons_beanutils_exploit”。要使用该脚本,只需通过命令行一样的服务器地址:
lobster@decapoda: ~ / hp_na_rmi python commons_beanutils_mkdir美元。py 192.168.1.11(+)连接到RMI注册192.168.1.11:6099[+]启动JRMI握手[+]发送beanutils利用负载[+]成功!
为了验证利用工作,我们检查了C:\Users\Public惠普NA服务器上的路径:
C:\Users\公共> dir卷驱动器C是软甲纲。卷序列号是4199 - 7460的目录C:\Users\Public 03/29/2016 02:10点< DIR >。03/29/2016 02:10点< DIR > . .03/29/2016 02:10点< DIR > commons_beanutils_exploit 03/29/2016 02:04点< DIR > commons_collections_exploit 07/14/2009 01:08是< DIR >文件龙虾07/14/2009 12:54是< DIR >下载07/14/2009 03:45是< DIR >龙虾照片07/14/2009 12:54是< DIR >音乐灵感来自龙虾07/14/2009 12:54是< DIR >龙虾的视频文件(s) 0字节10 DIR (s)免费42413776896字节
站得住脚的最近没有访问补丁版本(10.00.02、9.22.04),所以我们无法测试。不,我们不分享我们的PoC的玩具。