猫头鹰
信安舆情早知道

通过Empire和PowerShell攻击JBoss

前言

当Empire在BSidesLV发布时,我立即对纯粹的PowerShell RAT攻击社区的可能性产生了兴趣。在空闲的时间,我添加了一些模块。本文将介绍如何通过通过部署Empire代理枚举和利用Web内部服务,而无需端口扫描。

演示

在本演示中,我在Windows 7主机上运行一个Empire代理。计划低调地枚举网络中易受攻击的Web服务,并利用一个横向移动。

screenshot1

首先,加载recon/find_fruit模块并设置所需的选项。 find_fruit模块接受CIDR范围以及单个主机。  该模块支持多线程的,默认设置为十个线程。有一件事使得这个模块非常适合红色团队或低调的渗透测试,与端口扫描不同的是,它使用合法的Web请求来检查我们通常定位的Web服务,如Apache Tomcat、JBoss、Cold Fusion等。 如果需要,模块还将接受自定义字典。启动模块我很快在我的目标范围内的主机上找到一些“low hanging fruit”。

screenshot2

接下来,创建一个 payload并利用JMX-Console。Empire能够生成用于部署代理的java .war文件。如果你在Empire之外做这个,你还可以使用另一个脚本生成一个.war文件。

screenshot3

这里我上传.war文件与python SimpleHTTPServer模块。这个是必要的,因为jmx-console漏洞将抓取此文件并将其部署在目标服务器上。

screenshot4

最后,我加载exploit/exploit_jboss模块并设置所需的选项。 将JMXConsole开关设置为“true”。接下来,AppName需要匹配我在生成.war文件时使用的AppName。我把WarFile指向我的Python托管文件。 由于我通过已经部署的代理来传播这个漏洞,我需要设置代理选项来部署漏洞。Empire也会让你知道这个模块是否是 “opsec safe”,意味着它将文件放到磁盘。

screenshot5

一旦攻击启动,我首先看到从目标服务器抓取托管的.war文件的HTTP请求。几秒钟后,将收到一个新Empire代理的欢迎。

如果你正在寻找一种枚举和利用内部Web服务,但却没有端口扫描那么大动静的方法,可以尝试这个方法。

脚本下载

独立的Find-Fruit和Exploit-JBoss PowerShell脚本下载地址:

相关阅读

 

*转载请注明来自MottoIN

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 通过Empire和PowerShell攻击JBoss

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们