JBOSS反序列化漏洞

jboss介绍

Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。

特征判断

• JBoss JMXInvokerServlet 反序列化漏洞

经典的JBoss反序列化漏洞，JBoss在

/invoker/JMXInvokerServlet

请求中读取了用户传入的对象，然后我们利用Apache Commons Collections中的Gadget执行任意代码。

访问http://ip+端口/invoker/JMXInvokerServlet 如果出现下载提示框，就证明可能存在漏洞。

• Boss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）

该漏洞出现在

/jbossmq-httpil/HTTPServerILServlet

请求中

访问http://ip+端口/

jbossmq-httpil/HTTPServerILServlet,

如果出现该页面就表示可能存在漏洞

• JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149） 该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。

该漏洞出现在/invoker/readonly请求中，服务器将用户提交的POST内容进行了Java反序列化

访问http://ip+端口/invoker/JMXInvokerServlet如果出现该页面，则表示可能存在漏洞。

漏洞复现

环境搭建

kali：192.168.80.128

启动docker systemctl start docker

下载jboss

这里是下载了一个靶机

wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master

下载完成之后解压

找到jboss目录打开，在CVE-2017-7504目录下打开终端，使用命令docker-compose up -d

使用命令 docker ps -a 查看jboss已开启

访问本地的8080端口

漏洞利用

下载漏洞利用工具

指路（也可以找别的）：GitHub - joaomatosf/jexboss

工具介绍和使用参考：JexBoss - JBoss （和其他 Java 反序列化漏洞） 验证和更新工具 - 知乎 (zhihu.com)

1.下载解压后，在jexboss-master文件夹下打开终端，使用命令：pip install -r requires.txt 安装需要的依赖包

2.使用命令：python jexboss.py -u 目标机器ip：端口

3.这里输入yes

4.等待一下获得shell就ok啦