关于JBOSS环境搭建和中间件漏洞复现

服务器: windows 7

攻击机: windows 10

一、环境搭建

使用win7搭建环境，由于jboss依赖Java基本环境，所以应当先安装Java环境，使用jdk-6u14版本，Java安装完成后记得去环境变量配置

jboss安装包在jboss下载页面下载即可，为压缩包，此处使用版本为4.2.2.GA

 

下载完成后将压缩包内的文件夹解压到C盘根目录并改名为jboss，由于此处我们不使用其它功能——权限处理组件AOP | mysql连接驱动 等暂时不安装

在命令行界面cd进入jboss目录，输入run.bat -b win7-IP，加载出现秒数时成功启动

二、漏洞复现

1）JBoss JMXInvokerServlet 反序列化漏洞

（攻击机也需要安装Java环境，为JDK1.8及以上版本）

在攻击机浏览器输入 http://win7-IP:8080/能够正常访问后

下载反序列化测试工具

在目标栏输入http://win7-IP:8080/

点击[目标信息] > [获取信息]按钮获取目标机信息，包括系统信息，服务器版本信息等

点击[执行命令]输入对应系统命令，点击[执行]按钮成功执行，获取shell

防御方式

1、过滤关键词：<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC

2、安全配置好php相关参数

3、升级中间件

4、严格控制传入变量，严谨使用魔法函数

*        *        *        *        *        *

其他漏洞后续再尝试

转载自：

关于Jboss环境搭建和中间件漏洞复现_GFXer的博客-CSDN博客