JBoss4 反序列化漏洞

最新推荐文章于 2024-05-12 20:20:06 发布
最新推荐文章于 2024-05-12 20:20:06 发布
阅读量4.6k 收藏
点赞数
分类专栏: JBoss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenkeqin_2012/article/details/50999784
版权

JBOSS反序列化漏洞修改方案及验证

 

漏洞现象:

可以操控远程服务器

1、上传文件:

上传文件:

查看一下根目录是否存在test.xml文件

2、远程操作服务器

在CMD输入命令操控服务器

 

 

删除文件:

删除前处在test.xml文件

 

 

 

 

在CMD输入:rm -rf  test.txt

已经将文件删除

 

解决方案:

删除JBoss自带jar包 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件

修改前commons-collections jar大小为545K 修改后为534K

修改后验证:

1、             上传文件

到服务器根目录下查看是否有文件test_now.txt

已经无法上传文件。

2、             远程操纵服务器

执行命令后无响应。

证明反序列化漏洞已解决。

绿源2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
yang1234567898的博客
04-22 1620
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 漏洞复现 启动环境 docker-compose up -d 该漏洞出现在/jbossmq-httpil/HTTPServerI.
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
JBOSSAS 5.x/6.x 反序列化命令执行漏洞(CVE-2017-12149)
weixin_30606461的博客
11-27 166
  本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程 仅供学习   文中利用到漏洞环境由phith0n维护: JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)   靶机地址:192.168.1.102 服务端口:8080       测试机:192.168.1.100   搭建好环境,访问地址:http://192.168...
Jboss 反序列化 CVE-2017-12149
最新发布
npc88888的博客
05-12 434
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。
JBoss 5.x/6.x 反序列化漏洞 CVE-2017-12149 漏洞复现
ADummy的博客
03-03 362
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149) by ADummy 0x00利用路线 ​ ysoserial生成payload—>上传给站进行解析—>命令执行 0x01漏洞介绍 ​ Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 ​ 影
JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)
黑白的博客
12-21 2026
声明 好好学习,天天向上 漏洞描述 这是经典的JBoss反序列化漏洞JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。 影响范围 JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6
jboss 5.x/6.x 反序列化漏洞 cve-2017-12149
whatday的专栏
07-31 607
目录 测试环境 漏洞复现 编写反弹shell的命令 序列化数据生成 发送POC 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 参考: https://mp.weixin.qq.com/s/zUJMt9hdGoz1TEOKy2Cgdg https://access.redhat.com/securit
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
java反序列化漏洞利用工具Jboss&WebLogic;.rar
07-23
4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: we blogic回显结果测试中,稍后加入
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
CVE-2017-12149 JBOSS as 6.X反序列化(反弹shell版)
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,... 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环
java反序列化漏洞利用工具WebLogicExploit
01-14
4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java反序列化漏洞利用工具
01-14
1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版...4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境
JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149
willow_liang的博客
10-24 236
漏洞原理: 漏洞复现 下载利用工具 javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java javac将java源文件编译为class字节码文件。-cp指明.java文件中import类的位置 java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "touch /tmp/success"
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
EC_Carrot的博客
07-04 146
漏洞详细 参考文章:https://vulhub.org/#/environments/jboss/CVE-2017-12149/ 漏洞复现 具体做法与我上篇文章一致:https://blog.csdn.net/EC_Carrot/article/details/118458808
jboss反序列化漏洞
08-16
JBoss反序列化漏洞是指JBoss应用服务器中存在的一种安全漏洞,具体表现为Java反序列化错误类型。该漏洞存在于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值