版权声明:没有注明参考链接,均为原创,如有侵权,请联系博主! https://blog.csdn.net/qq_29647709/article/details/85040354
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
环境
JBoss 5.x/6.x 自行安装
漏洞原理
该漏洞出现在/invoker/readonly
请求中,服务器将用户提交的POST内容进行了Java反序列化:
漏洞检测和利用
检测:
利用:
项目地址:
https://github.com/yunxu1/jboss-_CVE-2017-12149
参考链接:
https://github.com/yunxu1/jboss-_CVE-2017-12149
https://github.com/vulhub/vulhub/tree/master/jboss/CVE-2017-12149