JBoss反序列化漏洞内网渗透实战教学

一、漏洞背景与发现

JBoss应用服务器存在反序列化漏洞，攻击者可以利用该漏洞获取系统权限。在本案例中，管理员虽然删除了admin-console.war和web-console.war以增强安全性，但jmx-console.war仍然存在可利用点。

二、环境侦察

1. JBoss目录结构分析

JBoss关键目录结构：

server\default\deploy    # 默认部署war目录
server\web\deploy       # 部署war相对应的编译生成目录

2. 异常发现

• admin-console和web-console访问返回404
• 检查发现server\web\deploy目录缺少admin-console和web-console文件夹
• 原因是管理员删除了这两个war包的安全措施

三、漏洞利用过程

1. 常规war部署尝试

1. 上传war包到server\default\deploy\但访问404
2. 原因是编译目录未生成对应文件夹

2. 成功利用路径

1. 将jsp脚本上传到jmx-console.war中
2. 访问路径：server\web\deploy\jmx-console.war\
3. 成功获取WebShell

四、信息收集

1. 系统环境

• 存在avguard.exe（小红伞杀毒软件）
• 存在PowerShell但不可用
• 执行命令常出现超时，需使用专用工具或上传webshell

2. 用户与域信息

本机用户：

Administrator 
Guest 
HelpAssistant
postgres 
saverio 
SUPPORT_388945a0

域管理员：

Administrator 
bckagent 
dbagentfaxmaker 
idsmessina 
lattucaSpaceGuardSvcAccnt 
trovato 
VMwareVDPBackupUser

域控制器：

DOMAIN1$ 
DOMAIN2$

3. 关键发现

• 本机Administrator同时也是域管理员
• 存在两台域控制器：DOMAIN1和DOMAIN2
• DOMAIN2 IP地址：192.168.20.10

五、免杀技术

1. 免杀尝试

1. Shellter免杀无法绕过小红伞
2. Metasploit生成的exe在Win7可用但在XP不可用
3. 使用Veil框架生成免杀payload（Veil安装过程复杂）

六、横向移动

1. 攻击路径

1. 目标：dump PROTRIBUTCT（域管理员）的密码
2. 成功获取整个域控制权

2. 域控特殊发现

• 两台域控制器执行net view /domain:xxxxx结果不同
• DOMAIN1所在网段只能通过DOMAIN2访问

七、技术要点总结

1. JBoss漏洞利用：即使删除管理控制台，其他组件如jmx-console仍可能存在漏洞
2. 目录结构理解：区分部署目录和编译目录对漏洞利用至关重要
3. 信息收集：用户和域信息分析是内网渗透的关键
4. 免杀技术：针对不同杀软和系统版本需要不同策略
5. 横向移动：域管理员凭证是内网渗透的核心目标
6. 多域控环境：不同域控制器可能有不同的网络访问策略

八、防御建议

1. 完全移除不必要的JBoss管理组件
2. 定期更新JBoss补丁
3. 实施严格的网络分段策略
4. 域管理员账户与本地管理员账户分离
5. 部署多层次的终端防护方案
6. 监控异常的网络访问模式