该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过 滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导 致了漏洞
1、访问,验证是否存在漏洞
返回500,说明⻚⾯存在,此⻚⾯存在反序列化漏洞
2、使⽤⼯具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过 滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导 致了漏洞
1、访问,验证是否存在漏洞
返回500,说明⻚⾯存在,此⻚⾯存在反序列化漏洞
2、使⽤⼯具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可