JAVA反序列化漏洞復現

Red Hat JBoss Application Server 是一款基於JavaEE的開源應用服務器。JBoss AS 4.x及以前版本中，JbossMQ實現過程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，遠程攻擊者可藉助特製的序列化數據利用該漏洞執行任意代碼。

這個漏洞利用工具是：java反序列終極化工具.jar

咱們先啓動靶機環境，訪問：http://192.168.10.13:8080/

打開咱們的 java反序列終極化工具.jar工具，選擇jboss，輸入目標主機的連接，點擊目標信息，獲取信息。等十來秒的的樣子，有時候須要等久一點，多點幾回，若是能出來目標主機的信息，則說明目標主機存在漏洞。若是沒漏洞，會直接提示不存在漏洞，咱們等待他的響應便可。

執行系統命令

JBoss 5.x/6.x 反序列化漏洞復現（CVE-2017-12149）

該漏洞爲 Java反序列化錯誤類型，存在於 Jboss 的 HttpInvoker 組件中的 ReadOnlyAccessFilter 過濾器中。該過濾器在沒有進行任何安全檢查的狀況下嘗試未來自客戶端的數據流進行反序列化，從而致使了漏洞。

這個漏洞利用工具是：java反序列終極化工具.jar 或 jboss反序列化_CVE-2017-12149.jar

咱們先啓動靶機環境，訪問：http://192.168.10.13:8080/

開咱們的 java反序列終極化工具.jar工具，選擇jboss，輸入目標主機的連接，點擊目標信息，獲取信息。等五六秒的樣子，若是能出來目標主機的信息，則說明目標主機存在漏洞。若是沒漏洞，會直接提示不存在漏洞，咱們等待他的響應便可。

執行系統命令

或者直利用工具：jboss反序列化_CVE-2017-12149.jar

輸入目標URL，點擊檢測，過幾秒就看底下的信息看是否存在漏洞

確認存在漏洞後，輸入命令，點擊執行，下面命令的回顯了

JBoss JMXInvokerServlet 反序列化漏洞

這是經典的JBoss反序列化漏洞，JBoss在/invoker/JMXInvokerServlet請求中讀取了用戶傳入的對象，而後咱們利用Apache Commons Collections中的Gadget執行任意代碼。

這個漏洞利用工具是：java反序列終極化工具.jar

咱們先啓動靶機環境，訪問：http://192.168.10.13:8080/

執行系統命令

參考文章：JBoss JMXInvokerServlet 反序列化漏洞

RMI反序列化漏洞

RMI是Remote Method Invocation遠程方法調用的簡稱，是J2SE的一部分，可以讓程序員開發出基於JAVA的分佈式應用。一個RMI對象是一個遠程JAVA對象，能夠從另外一個JAVA虛擬機上（甚至跨過網絡）調用它的方法，能夠像調用本地JAVA對象的方法同樣調用遠程對象的方法，使分佈在不一樣的JVM中的對象的外表和行爲都像本地對象同樣。對於任何一個以對象爲參數的RMI接口，你均可以發一個本身構建的對象，迫使服務器端將這個對象按任何一個存在於class path中的可序列化類來反序列化。

1099 端口是Java RMI的默認端口，RMI默認使用序列化來完成全部的交互，因此這是很是常見的漏洞。若是該端口暴露在公網上，且使用了Apache Commons Collections的漏洞版本，就能夠在該服務器上執行相關命令。

漏洞利用工具：RMI反序列化利用工具.jar

輸入目標的 ip 和RMI的端口，而後 cmd 中輸入命令，點擊 Exeuate

Fastjson反序列化漏洞

Fastjson是一個java編寫的高性能功能很是完善的JSON庫，應用範圍很是廣，Fastjson用於將Java Bean序列化爲JSON字符串，也能夠從JSON字符串反序列化到JavaBean。2017年3月15日，Fastjson官方主動爆出 Fastjson在1.2.24及以前版本存在遠程代碼執行高危安全漏洞。攻擊者能夠經過此漏洞遠程執行惡意代碼來入侵服務器。

受影響的Fastjson版本：Fastjson<=1.2.24