vulhub官方复现:https://vulhub.org/#/environments/jboss/CVE-2017-7504/
漏洞描述:Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ 实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
漏洞复现:
注意:自己搭建jboss服务器的话需要,设置外网访问:
在C:\jboss-4.2.3\server\default\deploy\jboss-web.deployer\server.xml
将 address="${jboss.bind.address} 改为:address=“0.0.0.0”, 并重启Jboss
<Connector port="8080" address="${jboss.bind.address}"
maxThreads="250" maxHttpHeaderSize="8192"
emptySessionPath="true" protocol="HTTP/1.1"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="20000" disableUploadTime