这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。
利用ysoserial 工具进行利用,
也可以使用DeserializeExploit.jar,但是我使用的时候会报错,不太好用
成功执行测试命令
这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。
利用ysoserial 工具进行利用,
也可以使用DeserializeExploit.jar,但是我使用的时候会报错,不太好用
成功执行测试命令