Jboss反序列化漏洞復現(CVE-2017-12149)
一、漏洞描述
該漏洞為Java反序列化錯誤類型,存在於jboss的HttpInvoker組件中的ReadOnlyAccessFilter過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的數據流進行反序列化,從而導致了漏洞。
二、漏洞影響版本
Jboss 5.x
Jboss 6.x
三、漏洞復現環境搭建
Win7 :192.168.10.171
1、 安裝java環境,測試java環境
2、 下載jboss-as-6.1.0-final,下載下來是一個壓縮包 http://jbossas.jboss.org/downloads/
3、解壓到一個目錄(c:\jboss\)
4、新建環境變量
JBOSS_HOME:值為:C:\jboss\jboss-6.1.0.Final
在path中加入:%JBOSS_HOME%\bin;
5、完成環境變量配置后,在C:\jboss\jboss-6.1.0.Final\bin下打開cmd,輸入call run.bat,出現下圖所示即成功啟動。
6、本地測試,在瀏覽器輸入127.0.0.1:8080
7、默認不能遠程訪問,需要修改配置文件,配置文件位置jboss-6.1.0.Final\server\default\deploy\jbossweb.sar\server.xml,然后重啟jboss
8、測試遠程訪問
9、瀏覽器訪問http://192.168.10.171:8080/invoker/readonly,若顯示HTTP Status 500,則說明存在漏洞
10、使用工具測試驗證漏洞是否存在,工具下載地址: https://github.com/yunxu1/jboss-_CVE-2017-12149
11、執行whomai命令
四、漏洞防御
1、升級版本
2、不需要的http-invoker.sar組件,刪除此組件