Apache Karaf Web Console 后台 RCE 漏洞分析与利用<\/h1>

1. 漏洞概述<\/h2>
Apache Karaf是基于OSGi的运行时容器，用于部署和管理捆绑包。该漏洞存在于Karaf Web Console后台，攻击者可通过默认凭证进入后台，进而实现远程代码执行。<\/p>

2. 环境搭建<\/h2>

2.1 环境下载<\/h3>

官方下载地址：https:\/\/karaf.apache.org\/download.html<\/li>

具体版本：https:\/\/archive.apache.org\/dist\/karaf\/4.0.4\/apache-karaf-4.0.4.zip<\/li> <\/ul>

2.2 配置修改<\/h3>

编辑{KARAF_HOME}\/etc\/org.ops4j.pax.url.mvn.cfg<\/code>文件，在org.ops4j.pax.url.mvn.repositories<\/code>中添加国内镜像源：<\/p>

org.ops4j.pax.url.mvn.repositories=\
    https:\/\/maven.aliyun.com\/repository\/public@id=alibaba,\
    https:\/\/repo1.maven.org\/maven2@id=central
<\/code><\/pre>
2.3 启动与安装<\/h3>

运行bin\/karaf.bat<\/code>启动Karaf<\/li>
添加Karaf官方仓库并安装必要功能：<\/li>
<\/ol>
feature:repo-add mvn:org.apache.karaf.features\/standard\/4.0.4\/xml\/features
<\/span><\/span>feature:install http
<\/span><\/span>feature:install webconsole
<\/span><\/span><\/code><\/pre>2.4 访问控制台<\/h3>

WebConsole默认端口：8181<\/li>
访问地址：http:\/\/x.x.x.x:8181\/system\/console\/<\/li>
默认凭证：karaf\/karaf<\/li>
<\/ul>
3. 漏洞利用方法<\/h2>
3.1 OSGi Bundle Install RCE<\/h3>
在后台存在"Upload\/Install Bundles"功能，可安装自定义bundle实现RCE。<\/p>
利用原理<\/h4>

通过org.apache.karaf.bundle.command.Install<\/code>安装恶意bundle<\/li>
当start参数为true时，会触发BundleActivator的start()方法<\/li>
<\/ul>
恶意bundle构造<\/h4>
参考项目：https:\/\/github.com\/moghaddam\/developmentor<\/p>

使用Maven构建恶意jar包<\/li>
通过后台上传并安装<\/li>
成功触发RCE<\/li>
<\/ol>
3.2 Jetty内存马注入<\/h3>
环境识别<\/h4>
通过报错\/Header头识别Jetty版本：9.2.14.v20151106<\/p>
注入方法<\/h4>

使用Unsafe加载内存马<\/li>
生成蚁剑连接载荷<\/li>
连接时需要添加认证头：
Authorization: Basic a2FyYWY6a2FyYWY=
<\/code><\/pre>
<\/li>
<\/ol>
注意事项<\/h4>

冰蝎和哥斯拉可能报错（环境相关问题）<\/li>
实战中内存马注入可能失败<\/li>
回显需要不断stop->start操作，使用不便<\/li>
<\/ul>
3.3 OSGi API注册Servlet<\/h3>
实现原理<\/h4>
参考官方代码：https:\/\/github.com\/apache\/karaf\/blob\/karaf-4.0.x\/http\/src\/main\/java\/org\/apache\/karaf\/http\/core\/internal\/osgi\/Activator.java

通过注册自定义ServletService实现内存马功能<\/p>
代码实现<\/h4>
\/\/ Servlet注册服务
<\/span><\/span><\/span><\/span>public<\/span> class<\/span> ServletService<\/span> {<\/span>
<\/span><\/span>    public<\/span> void<\/span> registerServlet<\/span>()<\/span> {<\/span>
<\/span><\/span>        \/\/ 实现Servlet注册逻辑
<\/span><\/span><\/span><\/span>        \/\/ 包含内存马功能
<\/span><\/span><\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ HelloServlet实现内存马逻辑
<\/span><\/span><\/span><\/span>public<\/span> class<\/span> HelloServlet<\/span> extends<\/span> HttpServlet {<\/span>
<\/span><\/span>    @Override<\/span>
<\/span><\/span>    protected<\/span> void<\/span> doGet<\/span>(<\/span>HttpServletRequest req,<\/span> HttpServletResponse resp)<\/span> {<\/span>
<\/span><\/span>        \/\/ 内存马实现代码
<\/span><\/span><\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>利用效果<\/h4>

注册成功后新增Servlet端点<\/li>
可通过该Servlet实现持久化访问<\/li>
<\/ul>
4. 实战限制与防护<\/h2>
4.1 利用限制<\/h3>

Webshell工具可能无法连接<\/li>
命令执行可能受限（如只能执行dir）<\/li>
最新版本已注释掉默认账号密码<\/li>
<\/ul>
4.2 防护措施<\/h3>

删除WebConsole的默认账号密码注释<\/li>
更新到最新版本Karaf<\/li>
加强访问控制策略<\/li>
<\/ul>
5. 总结<\/h2>
该漏洞利用Apache Karaf Web Console的默认凭证和OSGi特性，通过多种方式实现RCE：<\/p>

恶意bundle安装<\/li>
Jetty内存马注入<\/li>
OSGi API Servlet注册<\/li>
<\/ol>
虽然存在一些实战限制，但该漏洞仍具有较高的危害性。建议用户及时更新和加强安全配置。<\/p>
注<\/strong>：本文仅用于安全研究和教育目的，请勿用于非法活动。<\/p>

Apache Karaf Web Console 后台 RCE 漏洞分析与利用<\/h1>

1. 漏洞概述<\/h2> Apache Karaf是基于OSGi的运行时容器，用于部署和管理捆绑包。该漏洞存在于Karaf Web Console后台，攻击者可通过默认凭证进入后台，进而实现远程代码执行。<\/p>

2. 环境搭建<\/h2>

3. 漏洞利用方法<\/h2>

3.1 OSGi Bundle Install RCE<\/h3> 在后台存在"Upload\/Install Bundles"功能，可安装自定义bundle实现RCE。<\/p>

3.2 Jetty内存马注入<\/h3>

环境识别<\/h4> 通过报错\/Header头识别Jetty版本：9.2.14.v20151106<\/p>

3.3 OSGi API注册Servlet<\/h3>

实现原理<\/h4> 参考官方代码：https:\/\/github.com\/apache\/karaf\/blob\/karaf-4.0.x\/http\/src\/main\/java\/org\/apache\/karaf\/http\/core\/internal\/osgi\/Activator.java 通过注册自定义ServletService实现内存马功能<\/p>

4. 实战限制与防护<\/h2>

1. 漏洞概述<\/h2>
Apache Karaf是基于OSGi的运行时容器，用于部署和管理捆绑包。该漏洞存在于Karaf Web Console后台，攻击者可通过默认凭证进入后台，进而实现远程代码执行。<\/p>

3.1 OSGi Bundle Install RCE<\/h3>
在后台存在"Upload\/Install Bundles"功能，可安装自定义bundle实现RCE。<\/p>

环境识别<\/h4>
通过报错\/Header头识别Jetty版本：9.2.14.v20151106<\/p>

实现原理<\/h4>
参考官方代码：https:\/\/github.com\/apache\/karaf\/blob\/karaf-4.0.x\/http\/src\/main\/java\/org\/apache\/karaf\/http\/core\/internal\/osgi\/Activator.java
通过注册自定义ServletService实现内存马功能<\/p>