JAVA反序列化漏洞复现

Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及以前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

这个漏洞利用工具是：java反序列终极化工具.jar

咱们先启动靶机环境，访问：http://192.168.10.13:8080/

打开咱们的 java反序列终极化工具.jar工具，选择jboss，输入目标主机的连接，点击目标信息，获取信息。等十来秒的的样子，有时候须要等久一点，多点几回，若是能出来目标主机的信息，则说明目标主机存在漏洞。若是没漏洞，会直接提示不存在漏洞，咱们等待他的响应便可。

执行系统命令

JBoss 5.x/6.x 反序列化漏洞复现（CVE-2017-12149）

该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的状况下尝试未来自客户端的数据流进行反序列化，从而致使了漏洞。

这个漏洞利用工具是：java反序列终极化工具.jar 或 jboss反序列化_CVE-2017-12149.jar

咱们先启动靶机环境，访问：http://192.168.10.13:8080/

开咱们的 java反序列终极化工具.jar工具，选择jboss，输入目标主机的连接，点击目标信息，获取信息。等五六秒的样子，若是能出来目标主机的信息，则说明目标主机存在漏洞。若是没漏洞，会直接提示不存在漏洞，咱们等待他的响应便可。

执行系统命令

或者直利用工具：jboss反序列化_CVE-2017-12149.jar

输入目标URL，点击检测，过几秒就看底下的信息看是否存在漏洞

确认存在漏洞后，输入命令，点击执行，下面命令的回显了

JBoss JMXInvokerServlet 反序列化漏洞

这是经典的JBoss反序列化漏洞，JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象，而后咱们利用Apache Commons Collections中的Gadget执行任意代码。

这个漏洞利用工具是：java反序列终极化工具.jar

咱们先启动靶机环境，访问：http://192.168.10.13:8080/

执行系统命令

参考文章：JBoss JMXInvokerServlet 反序列化漏洞

RMI反序列化漏洞

RMI是Remote Method Invocation远程方法调用的简称，是J2SE的一部分，可以让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象，能够从另外一个JAVA虚拟机上（甚至跨过网络）调用它的方法，能够像调用本地JAVA对象的方法同样调用远程对象的方法，使分布在不一样的JVM中的对象的外表和行为都像本地对象同样。对于任何一个以对象为参数的RMI接口，你均可以发一个本身构建的对象，迫使服务器端将这个对象按任何一个存在于class path中的可序列化类来反序列化。

1099 端口是Java RMI的默认端口，RMI默认使用序列化来完成全部的交互，因此这是很是常见的漏洞。若是该端口暴露在公网上，且使用了Apache Commons Collections的漏洞版本，就能够在该服务器上执行相关命令。

漏洞利用工具：RMI反序列化利用工具.jar

输入目标的 ip 和RMI的端口，而后 cmd 中输入命令，点击 Exeuate

Fastjson反序列化漏洞

Fastjson是一个java编写的高性能功能很是完善的JSON库，应用范围很是广，Fastjson用于将Java Bean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean。2017年3月15日，Fastjson官方主动爆出 Fastjson在1.2.24及以前版本存在远程代码执行高危安全漏洞。攻击者能够经过此漏洞远程执行恶意代码来入侵服务器。

受影响的Fastjson版本：Fastjson<=1.2.24