Jboss反序列化漏洞复现(CVE-2017-12149)

一、漏洞描述

该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

二、漏洞影响版本

Jboss 5.x

Jboss 6.x

三、漏洞复现环境搭建

Win7 :192.168.10.171

1、 安装java环境,测试java环境

  

2、 下载jboss-as-6.1.0-final,下载下来是一个压缩包 http://jbossas.jboss.org/downloads/

3、解压到一个目录(c:\jboss\)

4、新建环境变量

JBOSS_HOME:值为:C:\jboss\jboss-6.1.0.Final

在path中加入:%JBOSS_HOME%\bin;

5、完成环境变量配置后,在C:\jboss\jboss-6.1.0.Final\bin下打开cmd,输入call run.bat,出现下图所示即成功启动。

  

  

6、本地测试,在浏览器输入127.0.0.1:8080

  

7、默认不能远程访问,需要修改配置文件,配置文件位置jboss-6.1.0.Final\server\default\deploy\jbossweb.sar\server.xml,然后重启jboss

  

8、测试远程访问

  

9、浏览器访问http://192.168.10.171:8080/invoker/readonly,若显示HTTP Status 500,则说明存在漏洞

  

10、使用工具测试验证漏洞是否存在,工具下载地址: https://github.com/yunxu1/jboss-_CVE-2017-12149

  

11、执行whomai命令

  

四、漏洞防御

1、升级版本

2、不需要的http-invoker.sar组件,删除此组件

原文地址:https://www.cnblogs.com/yuzly/p/11240145.html

时间: 2024-10-29 21:10:58

Jboss反序列化漏洞复现(CVE-2017-12149)的相关文章

weblogic AND jboss 反序列化漏洞

C:\Program Files\Java\jboss-4.2.3.GA\server\default\deploy\http-invoker.sar\invoker.war\WEB-INF server/$CONFIG/deploy/http-invoker.sar/http-invoker.war/WEB-INF/w eb.xml 文件,将标签中的 url-pattern 修改为/*,并注释掉其中的两个 http-method. 1.weblogic反序列化漏洞 通过java反序列化漏洞利用

php反序列化漏洞复现

超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下.我觉得学习的时候,所有的问题都应该问3个问题:what.why.how.what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用. 在这里我对反序列化的原理不做详细介绍,大家可以自行到网上搜索.在这里我只叙述自己的复现过程,超简单的好不. 实验环境 Windows 10+phpstudy 2016 实验步骤 测试

WebLogic XMLDecoder反序列化漏洞复现

参考链接: https://bbs.ichunqiu.com/thread-31171-1-1.html git clone https://github.com/vulhub/vulhub.git cd vulhub/weblogic/ssrf/ docker-compose up -d 这时我们就可以访问docker中weblogic的地址,地址为ubuntu(IP):7001,访问 http://192.168.126.142:7001/ 如下图搭建成功. 检验POC import req

6.JBoss5.x6.x 反序列化漏洞(CVE-2017-12149)复现

2017 年 9 月 14 日,国家信息安全漏洞共享平台( CNVD )收录了 JBOSS Application Server 反序列化命令执行漏洞( CNVD-2017-33724,对应 CVE-2017-12149 ),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码. 漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大. 0x01. 漏洞复现 1). 环境准备 JBOSS 下载地址:http://download.jboss.org/jbossas

2019-11-2:漏洞复现,ActiveMQ反序列化漏洞,CVE-2015-5254

文章仅仅学习使用,所有步骤均来自网络,博主无法鉴别判断用户使用本网站教程及软件的真实用途,敬请用户在本国法律所允许范围内使用,用户一旦因非法使用而违反国家相关的法律法规,所造成的一切不良后果由该用户独立承担,博主不负责也不承担任何直接间接或连带等法律责任. *文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担. ActiveMQ反序列化漏洞,CVE-2015-5254 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会

Java反序列化漏洞分析

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl

CVE-2017-12149JBoss 反序列化漏洞利用

CVE-2017-12149 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码.漏洞危害程度为高危(High). 影响范围 漏洞影响5.x和6.x版本的JBOSSAS. 漏洞原理 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器. JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用. Java序列化:把Java

Java反序列化漏洞通用利用分析

2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic.WebSphere.JBoss.Jenkins.OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行. 然而事实上,博客作者并不是漏洞发现者.博客中提到,早在2015年的1月28号,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上给出了

php反序列化漏洞绕过魔术方法 __wakeup

0x01 前言 前天学校的ctf比赛,有一道题是关于php反序列化漏洞绕过wakeup,最后跟着大佬们学到了一波姿势.. 0x02 原理 序列化与反序列化简单介绍 序列化:把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等  函数 : serialize() 反序列化:恢复原先被序列化的变量 函数: unserialize() 1 <?php 2 $test1 = "hello world"; 3 $test2 = array("hello"