当前位置: 首页 > news >正文

Jboss CVE-2017-12149 靶场攻略

news 2025/7/8 8:06:52

漏洞简述

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导 致了漏洞

漏洞范围

JBoss 5.x/6.x

环境搭建

cd vulhub-master/jboss/CVE-2017-12149

docker-compose up -d

漏洞复现

http://192.168.0.100:8080/

1.访问漏洞⻚⾯

 2.验证是否存在漏洞 , 访问

http://192.168.0.100:8080/invoker/readonly

该漏洞出现在/invoker/readonly中 ,服务器将⽤户post请求内容进⾏反序列化

返回500,说明⻚⾯存在,此⻚⾯存在反序列化漏洞

3. 使⽤⼯具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可:

⼯具:
https://cdn.vulhub.org/deserialization/DeserializeExploit.jar
也可以直接执⾏命令: https://github.com/yunxu1/jboss-_CVE-2017-12149

http://www.lryc.cn/news/443343.html

相关文章:

  • ROS2 中令人困惑的rclpy.shutdown()
  • PHP纯离线搭建(php 8.1.7)
  • 【iOS】push和pop、present和dismiss
  • 基于51单片机的两路电压检测(ADC0808)
  • JavaScript ---案例(统计字符出现次数)
  • 切换淘宝最新npm镜像源
  • mysql时间戳格式化yyyy-mm-dd
  • 网络丢包定位记录(二)
  • 深度学习自编码器 - 自编码器的应用篇
  • Python 小工具制作 系列文章 - 总目录
  • Codeforces Round 973 (Div. 2) - D题
  • threejs性能优化之gltf文件压缩threejs性能优化之glb文件压缩
  • 设计模式 享元模式(Flyweight Pattern)
  • Leetcode 3290. Maximum Multiplication Score
  • CefSharp_Vue交互(Element UI)_WinFormWeb应用(3)---通过页面锁屏和关机(含示例代码)
  • unity UnityWebRequest 的request.downloadHandler 空应用
  • 使用 UWA Gears 定位游戏内存问题
  • OpenRestry(一个Nginx集成工具)的安装与使用
  • linux操作系统的基本命令
  • 通过UV快速计算品牌独立站网络流量
  • 使用Kong开源API网关的保姆级教程
  • 浅谈Spring Cloud:认识微服务
  • mac命令行分卷压缩与合并
  • 在 Linux (aarch64) 编译 OpenJDK 8
  • 如何有效检测住宅IP真伪?
  • springboot acuturator
  • 什么是SaaS软件?有哪些常用的SaaS软件?
  • QT Layout布局,隐藏其中的某些部件后,不影响原来的布局
  • WPF自定义Dialog模板,内容用不同的Page填充
  • [数据集][目标检测]智慧养殖场肉鸡健康状态检测数据集VOC+YOLO格式4657张2类别