Jboss反序列化漏洞復現(CVE-2017-12149)

一、漏洞描述

該漏洞為Java反序列化錯誤型別,存在於jboss的HttpInvoker元件中的ReadOnlyAccessFilter過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的資料流進行反序列化,從而導致了漏洞。

二、漏洞影響版本

Jboss 5.x

Jboss 6.x

三、漏洞復現環境搭建

Win7 :192.168.10.171

1、 安裝java環境,測試java環境

2、 下載jboss-as-6.1.0-final，下載下來是一個壓縮包 http://jbossas.jboss.org/downloads/

3、解壓到一個目錄(c:\jboss\)

4、新建環境變數

JBOSS_HOME:值為:C:\jboss\jboss-6.1.0.Final

在path中加入:%JBOSS_HOME%\bin;

5、完成環境變數配置後,在C:\jboss\jboss-6.1.0.Final\bin下開啟cmd,輸入call run.bat,出現下圖所示即成功啟動。

6、本地測試,在瀏覽器輸入127.0.0.1:8080

7、預設不能遠端訪問,需要修改配置檔案，配置檔案位置jboss-6.1.0.Final\server\default\deploy\jbossweb.sar\server.xml,然後重啟jboss

8、測試遠端訪問

9、瀏覽器訪問http://192.168.10.171:8080/invoker/readonly,若顯示HTTP Status 500,則說明存在漏洞

10、使用工具測試驗證漏洞是否存在,工具下載地址: https://github.com/yunxu1/jboss-_CVE-2017-12149

11、執行whomai命令

四、漏洞防禦

1、升級版本

2、不需要的http-invoker.sar元件,刪除此