JBoss
文章平均质量分 67
Crazy_Yu8
这个作者很懒,什么都没留下…
展开
-
【vulhub】JMXInvokerServlet-deserialization JBOOS 反序列化漏洞
前言影响版本JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10JBoss AS (Wildly) 6 and earlierJBoss A-MQ 6.2.0JBoss Fuse 6.2.0JBoss SOA Platform (SOA-P) 5.3.1JBoss Data Grid (JDG) 6.5.0JBoss BRMS (BRMS) 6.1.0JBoss BPMS (BPMS) 6.1.0JBoss Data V原创 2021-12-09 16:53:30 · 2378 阅读 · 0 评论 -
【vulhub】CVE-2017-7504 JBOOS AS 4.x及之前版本反序列化漏洞
前言JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。CVE-2017-12149和CVE-2017-7504都是反序列化漏洞,因此用的东西都是一样的,笔者这里使用上次复现CVE-2017-12149的时候的POC文件。一、启动靶机docker-compose builddocker-compose原创 2021-12-09 16:32:21 · 416 阅读 · 0 评论 -
【vulhub】CVE-2017-12149 JBOOS AS 6.X 反序列化漏洞
前言2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。一、启动原创 2021-12-09 16:11:31 · 2946 阅读 · 0 评论