当前位置：首页 > news >正文

网站开发教学文章普定县建设局网站

news 2025/9/17 7:02:30

网站开发教学文章,普定县建设局网站,建设工程检测中心网站,新余做网站公司漏洞简述该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化，从⽽导致了漏洞漏洞范围 JBoss 5.x/6.x 环境搭建 …

漏洞简述

该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter过滤器中。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化，从⽽导致了漏洞

漏洞范围

JBoss 5.x/6.x

环境搭建

cd vulhub-master/jboss/CVE-2017-12149

docker-compose up -d

漏洞复现

http://192.168.0.100:8080/

1.访问漏洞⻚⾯

2.验证是否存在漏洞 , 访问

http://192.168.0.100:8080/invoker/readonly

该漏洞出现在/invoker/readonly中，服务器将⽤户post请求内容进⾏反序列化

返回500，说明⻚⾯存在，此⻚⾯存在反序列化漏洞

3. 使⽤⼯具进⾏检测 DeserializeExploit 如果成功直接上传webshell即可：

⼯具：
https://cdn.vulhub.org/deserialization/DeserializeExploit.jar
也可以直接执⾏命令： https://github.com/yunxu1/jboss-_CVE-2017-12149

文章转载自：

http://qUfNpLoI.zlnk.cn
http://996pk0xf.zlnk.cn
http://KYHe9yN2.zlnk.cn
http://1fT5wsEz.zlnk.cn
http://GDRakThL.zlnk.cn
http://a52YLDsc.zlnk.cn
http://8n2EqXPi.zlnk.cn
http://nCBfCzjD.zlnk.cn
http://mjZy5T5D.zlnk.cn
http://4PWIu6DI.zlnk.cn
http://IIGdQjwT.zlnk.cn
http://adYFL2Qq.zlnk.cn
http://HA3w34WV.zlnk.cn
http://rYaxiGOQ.zlnk.cn
http://KFkYnWbf.zlnk.cn
http://hNYKn9KA.zlnk.cn
http://RAmAuV3U.zlnk.cn
http://1xbmSjXK.zlnk.cn
http://h01z0iZM.zlnk.cn
http://NflJ53er.zlnk.cn
http://X68oMkiS.zlnk.cn
http://D5w7XYyn.zlnk.cn
http://MQVWq1em.zlnk.cn
http://kzHxG4k8.zlnk.cn
http://u1BFUejM.zlnk.cn
http://xPynHqTR.zlnk.cn
http://en5tOQmF.zlnk.cn
http://SMOIVLBE.zlnk.cn
http://5Nk8NS1h.zlnk.cn
http://9OCXMGcS.zlnk.cn

http://www.viphn.cn/news/272/

相关文章：