Jboss反序列化漏洞CVE-2017-12149复现

Jboss反序列化漏洞CVE-2017-12149复现

漏洞描述

互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149)，远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。漏洞危害程度为高危(High)。

漏洞原理

JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可，可以在任何商业应用中免费使用，2006年，JBoss被Redhat公司收购。

2017年8月30日，厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响，攻击者利用该漏洞无需用户验证在系统上执行任意命令，获得服务器的控制权。

影响范围

漏洞影响5.x和6.x版本的JBOSSAS

复现过程

靶机环境：centos7 ip:172.16.2.129
利用docker启动实验环境，http://172.16.2.129:8080/,界面如下

利用脚本进行漏洞检测
python cve-2017-12149_poc.py http://172.16.2.129:8080/

获取到shell
漏洞利用工具