CodeReview-PHP-1day挖掘-phpMyWindCMS

描述

​ CVE-2007-1036 即 JMX Console HtmlAdaptor Getshell，因为 JBoss 中 /jmx-console/HtmlAdaptor 路径对外开放，并且没有任何身份验证机制，导致攻击者可以进入到 jmx 控制台，并在其中执行任何功能。

注入

使用的是vulhub中CVE-2017-7504的漏洞环境来做复现

#进入漏洞目录
cd vulhub/jboss/CVE-2017-7504
#开启环境
docker-compose up -d

查看环境

http://192.168.2.107:8080/

复现过程

直接访问该地址：http://192.168.3.50:8080/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.admin%3Aservice%3DDeploymentFileRepository

找到下面store函数，通过向四个参数传参，达到上传 shell 的目的。

其中 arg0 传入的是部署的 war 包名字，arg1 传入的是上传的文件的文件名，arg2 传入的是上传文件的文件格式，arg3 传入的是上传文件中的内容。通过控制这四个参数即可上传 shell，控制整台服务器，arg1 和 arg2 可以进行文件的拼接，例如 arg1=she，arg2=ll.jsp。这个时候服务器还是会进行拼接，将 shell.jsp 传入到指定路径下。

蚁剑连接

修复建议

1、将JBoss后台添加权限，控制访问者对敏感路径访问

2、若不使用控制平台管理，建议关闭jmx-console和web-console，提高安全性。删除jmx-console.war和web-console.war，在以下路径。

jboss\server\all\deploy\jmx-console.war
jboss\server\default\deploy\jmx-console.war

3、目前官方已经发布了升级补丁以修复这个安全问题，请到官网的主页下载：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1036