不是攻擊者技術(shù)水平多高
而是這種弱問(wèn)題，有工具很容易掃描出來(lái)，然后上傳小馬，大馬。。
提權(quán)、密碼破解。。
Apache Tomcat crack Scan
Apache Tomcat crack Scan 原版
本資源從作者官方下載。。附帶一個(gè)視頻教程。
這是一款A(yù)pache Tomcat 弱口令掃描器.同時(shí)可掃ADSL路由等
這個(gè)作者用的一個(gè)版本.可以通過(guò)baidu或google抓URL
該版本已經(jīng)不再更新了
專(zhuān)門(mén) 掃描 各種常見(jiàn)的WEb弱口令的，功能強(qiáng)大。必備
PHPMyAdmin、tomcat、IBMDominoCrackAccount
 

 

 

 咱們前面分享了TOMCAT入侵的一點(diǎn)小小經(jīng)驗(yàn)。下面咱們分享一下最常見(jiàn)和簡(jiǎn)單的Jboss入侵。Jboss一個(gè)基于J2EE的開(kāi)放源代碼的應(yīng)用服務(wù)器，JBoss核心服務(wù)不包括支持servlet/JSP的WEB容器，一般與Tomcat或Jetty綁定使用。JBoss的默認(rèn)端口是8080 ，也有人經(jīng)常配置為80,許多管理員部署完Jboss后不進(jìn)行安全加固，對(duì)外開(kāi)放了管理界面，且為默認(rèn)口令，同時(shí)有些版本的Jboss也有關(guān)的一些漏洞可以利用。入侵者們常利用這個(gè)配置不當(dāng)或是漏洞，進(jìn)行木馬的上傳，然后，嘿。。JSP馬很多，功能就不討論了。
 
前幾日，大俠處理了一個(gè)安全應(yīng)急事件，入侵者就是利用這個(gè)來(lái)進(jìn)行入侵的。我把過(guò)程回放一下，希望對(duì)大家有所幫助。
1、漏洞或管理界面的查找，用谷歌。直接輸入jmx-console，查找開(kāi)了jmx-console管理界面的網(wǎng)站，定然會(huì)有許多收獲?；蚴遣檎页Ｒ?jiàn)JSP木馬的文件名，也會(huì)有收獲，都是別人已經(jīng)入侵的站點(diǎn)。比如有一個(gè)木馬，它有多個(gè)目錄，你只需要搜索任意或多個(gè)目錄名或文件名：console-mgr、idssvc、iesvc、wstats、zecmd、zmeu。一不小心 就發(fā)現(xiàn)有N個(gè)被入侵的網(wǎng)站，甚至多個(gè)為政府網(wǎng)站。


 

以上三個(gè)圖片，就是被上傳的木馬。
2、木馬的上傳。通過(guò)管理界面，進(jìn)行木馬上傳，某網(wǎng)站有弱口令，
1. Jboss管理界面未限制，公網(wǎng)可任意訪問(wèn)，且使用默認(rèn)口令，可上傳木馬，進(jìn)行入侵
用戶名：admin
密碼：admin
惡意攻擊者就有可能在服務(wù)器上執(zhí)行添加管理員賬號(hào)的命令或下載木馬程序并運(yùn)行的命令，最終達(dá)到其控制服務(wù)器的目的。
惡意攻擊者可以通過(guò)該方法向服務(wù)器上傳后門(mén)程序，從而獲取對(duì)服務(wù)器的完全控制權(quán)；同時(shí)可以通過(guò)該方法覆蓋服務(wù)器上的任意文件，從而造成數(shù)據(jù)丟失或系統(tǒng)損壞等。
許多站點(diǎn)，不用登陸，直接就能進(jìn)行管理界面。
如何上傳木馬呢，在管理界面中查找：jboss.deployment 或是查找：flavor=URL,type=DeploymentScanner

進(jìn)入找到：URLList，即可在后面看到WAR程序安裝包路徑，甚至其他入侵者行為時(shí)的木馬地址，這也算是個(gè)收獲：

 
咱們繼續(xù)說(shuō)上傳的事吧，在下面找到的void addURL()，即可上傳木馬，輸入木馬的地址（war壓縮文件webshell的url地址），點(diǎn)擊Invoke.

這樣木馬就上傳成功了，然后運(yùn)行，

 
 
3、安全建議：給jmx-console加上訪問(wèn)密碼，并限制在公網(wǎng)的訪問(wèn)。同時(shí)檢查版本是否有漏洞，是否需要升級(jí)。
1.在 ${jboss.server.home.dir}/deploy下面找到j(luò)mx-console.war目錄編輯WEB-INF/web.xml文件 去掉 security-constraint 塊的注釋?zhuān)蛊淦鹱饔?br />2.編輯WEB-INF/classes/jmx-console-users.properties或server/default/conf/props/jmx-console-users.properties (version >=4.0.2)和 WEB-INF/classes/jmx-console-roles.properties
或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2) 添加用戶名密碼
3.編輯WEB-INF/jboss-web.xml去掉 security-domain 塊的注釋 ，security-domain值的映射文件為 login-config.xml （該文件定義了登錄授權(quán)方式）
參考地址：https://community.jboss.org/wiki/SecureTheJmxConsole
 
4、總結(jié)：
系統(tǒng)部署完成后，修改口令、限制訪問(wèn)、刪除中間過(guò)程或臨時(shí)文件；
對(duì)系統(tǒng)進(jìn)行自評(píng)估，比如Acunetix Web Vulnerability Scanner ；
不要對(duì)外開(kāi)放管理界面、或不要使用默認(rèn)的管理界面；
如無(wú)必要，可以限制服務(wù)器訪問(wèn)外網(wǎng)的權(quán)限，防止反彈。
定期檢查自己所有應(yīng)用或程序的安全，是否有暴出漏洞或0day，及時(shí)修補(bǔ)。
本文出自 “路途拾遺-小俠唐在飛” 博客

最新評(píng)論