JBOSS漏洞精简利用
世界上最厉害的人,是说起床就起床,说睡觉就睡觉,说做事就做事,说玩就玩,说收心就收心。
简单介绍:
JBoss 是 J2EE 应用服务器,但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。
反序列化:
-
JBoss JMXInvokerServlet和EJBInvokerServlet 反序列化漏洞
原理:
此漏洞主要是JBoss在处理/invoker/JMXInvokerServlet和/invoker/EJBInvokerServlet请求的时候读取了对象,并且JBoss的jmx组件支持Java反序列化,。
复现:
首先访问该路径invoker/JMXInvokerServlet或/invoker/EJBInvokerServlet
,判断漏洞存在,利用ysoserial或网上已写好的exp直接即可获取shell。
-
JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
原理:
JBoss AS 4.x及之前版