记一次梦游渗透从jmx到rce

文章预览

渗透过程 发现了一个集成的环境，开了 jmx 服务 service:jmx:rmi:///jndi/rmi://1.1.1.157:9003/jmxrmi   jconsole连上去之后发现一些敏感的账号密码 在http://localhost:8983/solr 发现了solr，但是历史洞都打不了，log4j是高版本的jdk，并且不出网，所以整个思路就围绕在jmx的利用上。 jmx已知的利用方式有 javax.management.loading.MLet 加载远程类rce，但是目标不出网必须用其他方式了。 考虑到tomcat，想起来陈师傅写过的《几个Jolokia RCE 的“新”利用方式》 通过tomcat的createStandardHost配合AccessLogValue进行rce。 利用如下 先创建Host为test.com  Catalina:type=Host,host=test.com 然后tomcat的valve中就有了test.com的部署之后的结果 修改host为test.com之后就可以访问根目录下的任意文件 那么只需要写入一个jsp文件就可以getshell了。写入文件需要用AccessLogValue 修改AccessLogValue的属性 suffix .jsp prefix aa fileDateForm ………………………………