Jboss反序列化漏洞复现(CVE-2017-12149)

Jboss反序列化漏洞复现(CVE-2017-12149)

一、漏洞描述

该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

二、漏洞影响版本

Jboss 5.x

Jboss 6.x

三、漏洞复现环境搭建

Win7 :192.168.10.171

1、 安装java环境,测试java环境

  

2、 下载jboss-as-6.1.0-final,下载下来是一个压缩包 http://jbossas.jboss.org/downloads/

3、解压到一个目录(c:\jboss\)

4、新建环境变量

JBOSS_HOME:值为:C:\jboss\jboss-6.1.0.Final

在path中加入:%JBOSS_HOME%\bin;

5、完成环境变量配置后,在C:\jboss\jboss-6.1.0.Final\bin下打开cmd,输入call run.bat,出现下图所示即成功启动。

  

  

6、本地测试,在浏览器输入127.0.0.1:8080

  Jboss反序列化漏洞复现(CVE-2017-12149)_第1张图片

7、默认不能远程访问,需要修改配置文件,配置文件位置jboss-6.1.0.Final\server\default\deploy\jbossweb.sar\server.xml,然后重启jboss

  Jboss反序列化漏洞复现(CVE-2017-12149)_第2张图片

8、测试远程访问

  Jboss反序列化漏洞复现(CVE-2017-12149)_第3张图片

9、浏览器访问http://192.168.10.171:8080/invoker/readonly,若显示HTTP Status 500,则说明存在漏洞

  Jboss反序列化漏洞复现(CVE-2017-12149)_第4张图片

10、使用工具测试验证漏洞是否存在,工具下载地址: https://github.com/yunxu1/jboss-_CVE-2017-12149

  Jboss反序列化漏洞复现(CVE-2017-12149)_第5张图片

11、执行whomai命令

  Jboss反序列化漏洞复现(CVE-2017-12149)_第6张图片

四、漏洞防御

1、升级版本

2、不需要的http-invoker.sar组件,删除此组件

你可能感兴趣的:(Jboss反序列化漏洞复现(CVE-2017-12149))