CVE-2017-12149JBOSS漏洞復現

漏洞描述
JBOSS Application Server是一個基於J2EE的開放源代碼的應用服務器。
2017年8月30日，廠商Redhat發佈了一個JBOSSAS 5.x 的反序列化遠程代碼執行漏洞通告。該漏洞位於JBoss的HttpInvoker組件中的 ReadOnlyAccessFilter 過濾器中，其doFilter方法在沒有進行任何安全檢查和限制的情況下嘗試將來自客戶端的序列化數據流進行反序列化，導致攻擊者可以通過精心設計的序列化數據來執行任意代碼。但近期有安全研究者發現JBOSSAS 6.x也受該漏洞影響，攻擊者利用該漏洞無需用戶驗證在系統上執行任意命令，獲得服務器的控制權。

影響的版本

5.x和6.x版本的JBOSSAS

漏洞復現
JBOSS下載地址：http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip
centos7 IP地址 192.168.1.56
安裝配置java環境和Jboss環境
java!環境，source /etc/profile.d/java.sh 使其生效

下載安裝jboss，在/etc/profile.d/jboss.sh配置，然後source /etc/profile.d/jboss.sh使其生效

| JBOSS_HOME=/usr/local/share/jboss6.1.0
PATH=$PATH:$JBOSS_HOME/bin
#CLASSPATH=.:$CLASSPATH:$JBOSS_HOME/lib:$JBOSS_HOME/bin/run.jar
#export JBOSS_HOME PATH CLASSPATH

修改jboss-6.1.0/server/default/deploy/jbossweb.sar/server.xml

[root@localhost bin]# vi /usr/local/share/jboss6.1.0/server/default/deploy/jbossweb.sar/server.xml

啓動jboss
訪問，注意這裏可能沒關閉防火牆無法防問，關閉或者開放端口ip就行。

漏洞利用