Jboss 反序列化 (CVE-2017-12149)

搭建靶机环境
使用docker 搭建环境
安装配置成功后启动服务通过另一个虚拟机访问：
.

接下来我们先看下这个漏洞能干什么，直接使用暴力工具jboss-_CVE-2017-12149-master，（下载地址：github.com/yunxu1/jbos…）

Jboss 反序列化(CVE-2017-12149)的原理

Java序列化就是指把Java对象转换为字节序列的过程，在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。

Java反序列化就是指把字节序列恢复为Java对象的过程，根据字节流中保存的对象状态及描述信息，通过反序列化重建对象。

修复方案

一：修改web.xml文件
二：不需要http-invoker.sar组件的直接删除
三：升级jboss到jboss7x版本

本作品采用《CC 协议》，转载必须注明作者和本文链接