cve-2017-12149 JBOOS 反序列化漏洞复现

水下月 2021-01-12
专栏 - 事件 发布于 2021-01-12 18:04:20 阅读 407 评论 0

漏洞描述

该漏洞为Java反序列化错误,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检测的情况下尝试将来自客户端的数据进行反序列化,从而导致了漏洞。

漏洞影响版本

Jboss 5.xxx 6.xxx

漏洞搭建

在阿里云端,用docker 搭建测试环境jboos
使用的漏洞库是 vulhub ,进入漏洞库选择jboos里面有三个选项选择第一个cve.输入 docker-compose up -d 启动


本地测试,在浏览器输入49.78.67.78:8080

访问 49.78.67.78:8080/invoker/readonly,若显示HTTP Status 500,则说有反序列化漏洞。

使用工具测试验证漏洞是否存在,工具下载地址: https://github.com/yunxu1/jboss-_CVE-2017-...

执行whoami命令

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!