漏洞描述
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。
2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的
ReadOnlyAccessFilter
过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS
6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。
影响的版本
5.x和6.x版本的JBOSSAS
漏洞复现
JBOSS下载地址: [ http://download.jboss.org/jbossas/6.1/jboss-as-
distribution-6.1.0.Final.zip ](http://download.jboss.org/jbossas/6.1/jboss-as-
distribution-6.1.0.Final.zip)
centos7 IP地址 192.168.1.56
安装配置java环境和Jboss环境
java!环境,source /etc/profile.d/java.sh 使其生效
下载安装jboss,在/etc/profile.d/jboss.sh配置,然后source /etc/profile.d/jboss.sh使其生效
| JBOSS_HOME=/usr/local/share/jboss6.1.0
PATH= P A T H : PATH: P A T H : JBOSS_HOME/bin
#CLASSPATH=.: C L A S S P A T H : CLASSPATH: C L A S S P A
T H : JBOSS_HOME/lib:$JBOSS_HOME/bin/run.jar
#export JBOSS_HOME PATH CLASSPATH
修改jboss-6.1.0/server/default/deploy/jbossweb.sar/server.xml
[root@localhost bin]# vi
/usr/local/share/jboss6.1.0/server/default/deploy/jbossweb.sar/server.xml
启动jboss
访问,注意这里可能没关闭防火墙无法防问,关闭或者开放端口ip就行。
漏洞利用
