SSTIC 2010 - Vendredi matin : 2ème Conf

g4l4drim

11 juin 2010 — 2 min read

JBoss AS: Exploitation (et sécurisation)

JBoss AS est de plus en plus populaire, et on le retrouve soit comme serveur d’application classique soit directement en frontal. On retrouve du JBoss dans des produits proprios (ex : Cisco, Ironport).

Etude sécu existante : Red Team au hack.lu en 2008 mais uniquement sur JBoss 4.
Trustwave a Black Hat Europe 2010 -> POC Autopwn

JBoss c’est un tas de MBeans qui causent entre eux via le MBean Serveur. Pour gérer la communication avec l’exterieur le MBean Server s’appuie sur des connecteurs et des adapteurs.
La prise de contrôle se résume à la prise de contrôle du MBean Server.

Les composants de sécurité ne sont pas activés par défaut, et les composants d’administration sont accessibles à tous par défaut (souvenez vous mon post sur la console JMX).
Le sandboxing de composant c’est compliqué, et on ne sait pas si c’est efficace :D.

L’intrusion se résume au déploiement d’une backdoor sur le serveur, l’auteur est original car il utilise une archive SAR plutôt qu’un .war ou une .jsp.

Pour déployer des trucs sur JBoss, on utilise des composant de la console JMX (rien de neuf sous le soleil :|). JBoss utilise des vhosts et parfois sur le vhost par défaut on peut retrouver la console JMX o/. Le gros avantage du SAR bah c’est que c’est un MBean supplémentaire dans la console.
Petite évocation du Beanshell et de son utilisation pour uploader un composant et le déployer (merci Red Team).

Pour la sécurisation, l’auteur conseille de supprimer la console JMX.

Autre point d’entrée : JNDI et RMI (je vous invite a jetter un oeuil sur la présentation de ruby pour les pentester donné à la dernière Black Hat). Pour jouer avec ça, il y a l’outil twiddle fournit avec JBoss pour déployer la backdoor via RMI :). Pour sécuriser l’accès RMI, il suffit de mettre en place un invoker qui va demander une authentification au préalable.

Si par malheur vous n’avez ni accès a la console JMX, ni a RMI, il reste la console Web qui offre un invoker qui accepte n’importe quelle commande JMX (bon c’est chiant a écrire… ).

D’autres trucs du genre pour JBoss 4, après sur la version 5 et 6 il y a quelques évolutions coté sécurité, mais sur la version 6 apparait la console admin qui permet d’autres attaques similaires (plus d’infos sur les slides).

Avec le composant JMX-Invoker on peut redéployer une nouvelle politique de sécurité 🙂

La sécurité de JBoss s’améliore de version en version, mais pour l’instant il reste vulnérable. Pas de release des POC parceque ce n’est pas patché 🙁

BotConf 2024

Quelques notes publiables en passant :) tous les talks n'étant pas TLP:CLEAR⚪ pour l'instant, voici les quelques Talks partageables 😄. Cette année la BotConf à lieu à Nice, sous un soleil brillant. Unplugging PlugX: Sinkholing the PlugX USB worm botnet Lors d'une investigation, ils ont

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Read more

BotConf 2024

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1