网安漏洞复现系列:漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

于 2024-05-06 15:35:56 发布
阅读量114 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54626591/article/details/138496506
版权
网络安全 专栏收录该内容
157 篇文章 3 订阅 ¥299.90 ¥99.00
订阅专栏

漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)



漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

前言:

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。

Java中的ObjectOutputStream类writeObject()方法可以实现序列化,ObjectInputStream类readObject()方法用于反序列化。

问题的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制。

在这里插入图片描述

在这里插入图片描述

pache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。

首先这个漏洞与CVE-2015-7501一样,都是利用了Apache Commons Collect

了解本专栏 订阅专栏 解锁全文
坦笑&&life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
JBossMQ JMS 反序列化漏洞CVE-2017-7504
weixin_51151498的博客
12-12 712
JBossMQ JMS 反序列化漏洞CVE-2017-7504
JBoss 4.x JBossMQ JMS反序列化CVE-2017-7504
Kevin's Blog
06-08 887
文章目录一、漏洞介绍1.1 漏洞简介1.2 影响版本1.3 利用路径二、环境搭建三、操作过程四、防御措施 一、漏洞介绍 1.1 漏洞简介   JBoss是一个基于J2EE的开放源代码应用服务器,用户占有量较大,JBoss实现过程的JMS over HTTP Invocation Layer的HttpServerILServlet.java文件存在反序列化漏洞。 1.2 影响版本 JBoss<4.x 1.3 利用路径 /jbossmq-httpil/HTTPServerILServlet 二、环境
个人JBOSS mq使用总结
11-06
个人JBOSS使用总结 主要是个人在用JBOSS做消息队列时的一些总结,例如修改JBOSS 8080端口的位置,修改消息队列监听1099的位置 IP方式访问本机的JBOSSMQ。 只是个人的总结,也许不是太清楚,但是希望各位朋友少走弯路!good luck
JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504 已亲自复现
最新发布
qq_42430287的博客
12-19 1204
JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504 已亲自复现
JBSSMQ
好好学习
11-22 232
由于最近的项目中使用了JBOSSMQ,之前没有接触过这方面的知识,所以记录下相关的笔记。   JBOSSMQJboss message 的简称,目前最新的jbossMQ已经修改为jboss message了最新的版本以为2.0。   在JMS中有两种域:topics 和queues 。一个消息发送到一个topics ,可以有多个客户端。用topic发布允许一对多,或多对多通讯通道。消息...
实战JBossMQ JMS集群
JBossWeek的专栏
02-29 4099
作者:JBossWeek http://blog.csdn.net/JBossweek email:jbossweek AT gmail.com 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息
JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504
a1b2c3是弱口令
12-16 2597
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 漏洞环境 下载安装好测试目标 下载我...
JBossMQJMS 反序列化漏洞CVE-2017-7504漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
【标题】"CVE-2017-12149 JBOSS AS 6.X 反序列化漏洞详解及反弹shell技术" 【内容】 CVE-2017-12149是一个针对JBOSS Application Server 6.x版本的严重安全漏洞,它涉及到了Java对象的反序列化过程。在Java中,反...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞利用工具可能包含了一系列的payload(攻击载荷)和脚本,这些可以用来模拟攻击,检查JBOSS和WebLogic是否容易受到反序列化攻击。其中,JBOSS_EXP.jar可能是用于攻击JBOSS服务器的特定工具。 关于...
jboss mq 持久化DB
Edison Xu
07-25 1039
jboss默认持久化db是用hsql存到server\default\data\hypersonic\下。配置文件是server\default\deploy\jms\hsqldb-jdbc2-service.xml。我们可以在这里把它换成oracle,以避免在loadbalance环境下,一个Jboss挂掉了,它的message就全丢了。改动其实很简单,在docs\examples\jms\目录
JBoss反序列漏洞CVE-2017-7504
weixin_46411728的博客
09-05 1402
JBoss反序列漏洞CVE-2017-7504
JBoss-4.x-JBossMQ-JMS-反序列化
bqnagus
10-02 469
JBoss-4.x-JBossMQ-JMS-反序列化
请教关于JBossMQ的代码结构(摘自多篇文章)
huangjian2001的专栏
05-14 492
JBoss是一个运行EJB的J2EE应用服务器。它是开放源代码的项目,遵循最新的J2EE规范。从JBoss项目开始至今,它已经从一个EJB容器发展成为一个基于的J2EE的一个web 操作系统(operating system for web),它体现了J2EE规范中最新的技术,并且它还在the JavaWorld Editors Choice 2002评选中获得“最佳Java应用服务器”大奖。无
ActiveMQ FAQ----与JBossMQ的对比
wodamazi
06-20 118
ActiveMQJBossMQ有一些相似之处,比如两个都支持JMS的1.1规范并且二者都能运行在JBoss4.x应用服务器之上。 不过activemq有自己的特点和优势: (1)activemq可以很好的运行在任何JVM上,而不只是集成到JBoss的应用服务器中; (2)activemq支持大量的跨语言客户端; (3)activemq支持许多不同的协议,如 Ajax,...
ActiveMQ vs JbossMQ
KimmKing的技术博客
12-03 3118
http://activemq.apache.org/how-does-activemq-compare-to-jbossmq.html   这两个MQ有很多相似性:都支持JMS 1.1,可以运行在Jboss 4.x之上。 但是ActiveMQ有一些特定的不同和改进(至少在我们看来是如此):   n  ActiveMQ 很好地运行在任何jvm,而不是在Jboss应用服务器中 n
jboss CVE-2017-7504 如何修复
11-03
JBoss AS 4.x及之前版本中,JbossMQ实现过程的 JMS over HTTP Invocation Layer 的HTTPServerILServlet.java 文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。修复该漏洞的方法如下: 1.升级JBoss AS至5.x或以上版本。 2.禁用JMS over HTTP Invocation Layer。 3.限制HTTPServerILServlet的访问权限。 4.使用安全的序列化方式。 5.使用防火墙等安全设备限制对HTTPServerILServlet的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值