2019/09/23

Pwneando JBoss con JexBoss (like a boss)

¡Buenas!

Seguramente en alguna ocasión hayáis tenido que revisar una serie de servidores en busca de una vulnerabilidad determinada. En estas situaciones, cualquier herramienta que automatice el proceso nos es de gran ayuda, ¿verdad?

Pues para el que no lo conozca, aquí os traemos una muy útil herramienta llamada JexBoss (https://github.com/joaomatosf/jexboss), la cual realiza automáticamente una serie de comprobaciones buscando ciertas vulnerabilidades. La herramienta se centra sobre todo en vulnerabilidades de JBoss, pero se han añadido comprobaciones a otras aplicaciones. Entre otras, se buscan las siguientes vulnerabilidades:
  • Consolas de administración de JBoss abiertas
  • Interfaces de despliegue de aplicaciones de JBoss sin autenticación
  • Vulnerabilidades de deserialización en JBoss
  • Vulnerabilidad CVE-2017-5638 de Apache Struts
  • Vulnerabilidades en Jenkins
El funcionamiento de la aplicación es tremendamente sencillo: se lanza contra una IP y te muestra los tests que no ha conseguido pasar el servidor analizado, dando la posibilidad de intentar obtener una shell explotando una (o todas, si se desea) de las potenciales vulnerabilidades encontradas.



Interfaz de JexBoss

Además de este modo "standalone", JexBoss ofrece la posibilidad de escanear una red, e incluso lanzar los exploits automáticamente; lo cual hace aún más cómodo el escaneo masivo de estas vulnerabilides.

Pues bien, la próxima vez que queráis auditar un servidor JBoss (o en menor medida un Struts o Jenkins), no olvidéis esta aplicación que os hará la vida más sencilla.

¡Saludos!
    email this       edit

0 comentarios:

Publicar un comentario