CVE-2017-12149的复现

漏洞名称：JBOOS AS 6.X 反序列化漏洞

CVE编号：CVE-2017-12149

漏洞等级：高危

影响版本：5.x和6.x版本

漏洞描述及原理：2017年8月30日，厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响，攻击者利用该漏洞无需用户验证在系统上执行任意命令，获得服务器的控制权。

---

 

漏洞复现过程

 

搭建JBoss环境

以前推送过JBoss搭建过程，这里就不做说明了。

 

 

运行jboss

run.bat -b 0.0.0.0      

//直接运行run.bat，别人访问不到



本地查看是否可以访问JBoss,默认端口8080

确认攻击端是否可以访问到，可以看到访问是成功的。



 

然后需要配置以及生成payload

 

 



 

监听端口

nc -vlp 4444



 

提交恶意数据到被攻击端

 

最终成功反弹shell



成功执行命令