Jboss反序列化漏洞复现(CVE-2017-12149)
一、漏洞描述
该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
二、漏洞影响版本
Jboss 5.x
Jboss 6.x
三、漏洞复现环境搭建
Win7 :192.168.10.171
1、 安装java环境,测试java环境
2、 下载jboss-as-6.1.0-final,下载下来是一个压缩包 http://jbossas.jboss.org/downloads/
3、解压到一个目录(c:\\jboss\\)
4、新建环境变量
JBOSS_HOME:值为:C:\\jboss\\jboss-6.1.0.Final
在path中加入:%JBOSS_HOME%\\bin;
5、完成环境变量配置后,在C:\\jboss\\jboss-6.1.0.Final\\bin下打开cmd,输入call run.bat,出现下图所示即成功启动。
6、本地测试,在浏览器输入127.0.0.1:8080
7、默认不能远程访问,需要修改配置文件,配置文件位置jboss-6.1.0.Final\\server\\default\\deploy\\jbossweb.sar\\server.xml,然后重启jboss
8、测试远程访问
9、浏览器访问http://192.168.10.171:8080/invoker/readonly,若显示HTTP Status 500,则说明存在漏洞
10、使用工具测试验证漏洞是否存在,工具下载地址: https://github.com/yunxu1/jboss-_CVE-2017-12149
11、执行whomai命令
四、漏洞防御
1、升级版本
2、不需要的http-invoker.sar组件,删除此组件
