JBOSS漏洞

Java反序列化RCE漏洞

CVE-2015-7501漏洞

由于JBoss中invoker/JMXInvokerServlet路径对外开放，JBoss的jmx组件支持Java反序列化

invoker/JMXInvokerServlet

修复:
使用Winzip打开jar文件，在org/apache/commons/collections/functors/InvokerTransformer.class删除该文件。

CVE-2017-7504漏洞

jbossmq-httpil/HTTPServerILServlet

CVE-2017-12149漏洞

/invoker/readonly

CVE-2013-4810漏洞

与CVE-2015-7501漏洞原理相同，这里详细介绍一下两者的区别，其区别就在于两个漏洞选择的进行其中JMXInvokerServlet和EJBInvokerServlet利用的是org.jboss.invocation.MarshalledValue进行的反序列化操作，而web-console/Invoker利用的是org.jboss.console.remote.RemoteMBeanInvocation进行反序列化并上传构造的文件。

JBoss后台文件上传的漏洞

CVE-2007-1036漏洞

其中war_name是部署war包的名称，filename是我们想要上传的文件名。漏洞利用过程就是将POC以GET或POST方式在/jmx-console/HtmlAdaptor路径下进行传入即可。

/jmx-console/HtmlAdaptor

CVE-2010-0738漏洞

和CVE-2007-1036漏洞相同，唯一的区别是CVE-2010-0738漏洞利用了HTTP中HEAD请求方法，绕过了对GET和POST请求的限制，成功地再次利用jboss.admin -> DeploymentFileRepository -> store()方法上传文件。

CVE-2006-5750漏洞

和CVE-2007-1036漏洞相同，唯一的区别是CVE-2006-5750漏洞利用methodIndex进行store()方法的调用。其中methodIndex是通过方法的编号进行调用。

JBoss jmx-consoleHtmlAdaptor addURL() 文件上传漏洞

此漏洞是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进入到jmx控制台，并在其中执行任何功能。该漏洞利用的是后台jboss.deployment -> DeploymentScanner -> Java.net.URL类型 addURL()
方法，通过向一个参数传入url进行访问，在要访问的url中构造带有shell的war包，当服务器访问时便会上传shell。但是，上传shell的文件只是一个映射文件，当url一旦无法访问或者内部资源丢失，则服务器上的文件也会相应消失。

JBoss seam2模板注入

CVE-2010-1871漏洞

此漏洞是通过seam组件中插入#{payload}进行模板注入，我们可以在/admin-console/login.seam?actionOutcome=/success.xhtml?user%3d%23{}的#{}中插入我们要执行的方法，我们可以通过Java反射机制来获取到Java.lang.Runtime.getRuntime().exec()方法，从而可以传入任何想要执行的指令。