JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)复现

JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

测试环境

靶机:JBOSS 6

攻击机:kali

 

 

1.vulhub搭建环境

 

 

 

2.使用jexboss工具进行漏洞利用    #https://github.com/joaomatosf/jexboss

 

 

3.执行成功,选择另外一台攻击VPS的IP地址

 

 

 

 

 

4.攻击VPS监听,成功弹回shell

 

 

 

 

 

 

 

JBOSS其他的反序列化漏洞都可以用这个工具!

 

posted @ 2021-05-08 16:53  paku  阅读(94)  评论(0编辑  收藏  举报