【漏洞复现】JBoss(CVE-2017-12149)反序列化漏洞

最新推荐文章于 2025-04-16 20:45:55 发布
最新推荐文章于 2025-04-16 20:45:55 发布
阅读量695 收藏
点赞数
分类专栏: 漏洞复现 中间件漏洞 Web安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46944519/article/details/123723187
版权
本文详细介绍了JBoss的一个高危反序列化漏洞,该漏洞允许攻击者在未授权的情况下执行任意代码。漏洞存在于/invoker/readonly路径,由于HttpInvoker组件的ReadOnlyAccessFilter过滤器未进行安全检查,导致反序列化过程中的漏洞。影响版本包括JBoss AS 5.x和6.x。文章还提供了漏洞复现步骤和多种修复方法,如更新web.xml的安全约束、删除http-invoker.sar组件或升级到JBoss 7x以上版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

声明

本篇文章仅用于漏洞研究和技术学习,切勿用于未授权下的渗透测试行为,切记!

前言

JBoss 存在反序列化漏洞,攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危。

一、漏洞描述

JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。

在 /invoker/readonly 路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。

二、漏洞原理

2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。

该漏洞位于JBoss的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。

Java序列化与反序列化

了解本专栏 订阅专栏 解锁全文 超级会员免费看
JBoss反序列化漏洞复现 CVE-2017-12149
m0_62284238的博客
09-11 595
该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。由于Runtime.getRuntime().exec()不能使用管道符等bash需要的方法,因此我们对这个bash命令进行base64编码,再让bash输出base64解码后的命令。该漏洞出现在`/invoker/readonly`请求中,服务器将用户提交的POST内容进行了Java反序列化。生成好的POC即为poc.ser,将这个文件作为POST Body发送至/invoker/readonly即可。
Jboss反序列化漏洞CVE-2017-12149复现
weixin_43736941的博客
07-24 520
Jboss反序列化漏洞CVE-2017-12149复现 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)漏洞原理 JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费
JBOSS反序列化漏洞解析与防范策略CVE-2017-12149
最新发布
欢迎大家,一起努力!
04-16 1061
Vulhub,由资深安全专家打造的开源漏洞靶场环境,已成为网络安全研究和测试的得力助手。它基于Docker和Docker Compose,为安全研究人员提供了一个快速、便捷的方式来搭建、使用和分享各种漏洞环境。Vulhub的创建旨在简化漏洞测试流程,提供一个标准的测试平台,让安全研究更加高效和系统化。通过Vulhub,研究人员可以快速部署漏洞场景,进行深入研究,而无需担心对实际生产环境的影响。对于网络安全爱好者来说,学习如何搭建Vulhub是提升技能的必经之路。
JBoss 5.x和6.x 反序列化漏洞CVE-2017-12149
网络安全。
03-02 1595
0x01 漏洞简介 该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了攻击者可以在服务器上执行任意代码。 0x02 漏洞版本 漏洞影响5.x和6.x版本的JBOSSAS。 0x03 漏洞原理 JBOSS Applic...
Jboss反序列化漏洞复现(CVE-2017-12149)
WY92139010的博客
07-30 773
Jboss反序列化漏洞复现(CVE-2017-12149) 一、漏洞描述 该漏洞Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 二、漏洞影响版本 Jboss 5.x Jboss 6.x 三、漏洞复现环境搭建...
漏洞复现JBoss反序列化漏洞(CVE-2017-12149)
cj_Hydra's Blog
05-18 3511
前言: JBoss 反序列化漏洞,该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。但近期有安全研究者发现JBossAS 6.x也受该漏洞影响,恶意访问者利用该漏洞无需用户验证即可获得服务器的控制权。该漏洞的细节和验证代码已公开,为避免造成损失,建议及时修复升级至JBossAS 7版本 影响版本:
Jboss反序列化漏洞复现CVE-2017-12149
Agamotto丶的博客
06-12 4051
Jboss反序列化漏洞复现CVE-2017-12149 声明:漏洞复现过程并非原创,仅为成功搭建后给自己以及后来人的记录。侵删。 漏洞描述 近期,互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
【标题】"CVE-2017-12149 JBOSS AS 6.X 反序列化漏洞详解及反弹shell技术" 【内容】 CVE-2017-12149是一个针对JBOSS Application Server 6.x版本的严重安全漏洞,它涉及到了Java对象的反序列化过程。在Java中,反...
漏洞复现Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504
weixin_45556536的博客
11-12 961
Jboss反序列化漏洞利用CVE-2017-12149/CVE-2017-7504基础知识漏洞原理影响版本复现思路复现CVE-2017-121491、特征检测2、反弹shell复现CVE-2017-75041、特征检测2、反弹shell 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObj
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
jboss-CVE-2017-12149
01-22
Jboss反序列化漏洞利用工具,CVE-2017-12149Jboss反序列化漏洞利用工具,CVE-2017-12149
Jboss漏洞CVE-2017-12149
qq_68186313的博客
08-07 375
漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过 滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导 致了漏洞。2、使⽤⼯具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可。返回500,说明⻚⾯存在,此⻚⾯存在反序列化漏洞。1、访问,验证是否存在漏洞
墨者_JBoss 5.x / 6.x反序列化漏洞分析溯源
weixin_50698958的博客
10-20 440
靶场: https://www.mozhe.cn/bug/detail/bVk4Z1hPRktPZStBVWV6QUw2YmY0dz09bW96aGUmozhe 背景介绍 JBoss 5.x / 6.x反序列化漏洞分析溯源 实训目标 1、了解JBoss 5.x / 6.x反序列化漏洞形成原理; 2、掌握JBoss 5.x / 6.x反序列化漏洞利用方法; 解题方向 利用JBoss 5.x / 6.x反序列化漏洞执行任意代码。 key在根目录; 解题思路: 访问JBoss漏洞页面,响应码..
漏洞复现Jboss反序列化漏洞CVE-2017-12149
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-17 1014
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用CVE-2017-12149漏洞:该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter ,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。............
CVE-2017-12149JBoss 反序列化漏洞利用
weixin_30314631的博客
05-04 542
CVE-2017-12149 漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。 影响范围 漏洞影响5.x和6.x版本的JBOSSAS。 漏洞原理 JBOSS Application Server是一个基于J2EE的开放源代码的应...
Jboss 反序列化 CVE-2017-12149
npc88888的博客
05-12 901
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值