JBOOS反序列化漏洞复现

2017 年 9 月 14 日，国家信息安全漏洞共享平台（ CNVD ）收录了 JBOSS Application Server 反序列化命令执行漏洞（ CNVD-2017-33724，对应 CVE-2017-12149 ），远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。

漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。0x01. 漏洞复现1). 环境准备JBOSS 下载地址：http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zipEXP 下载地址：https://github.com/yunxu1/jboss-_CVE-2017-12142). 环境搭建wgethttp://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zipvim ~/jboss-6.1.0.Final/server/default/deploy/jbossweb.sar/server.xml./jboss-6.1.0.Final/bin/run.shgit clonehttps://github.com/yunxu1/jboss-_CVE-2017-121493). 信息收集nmap 192.168.1.111 -A4). 漏洞利用利用刚才下载好的 EXP 进行漏洞利用，打开0x02. 总结行千里路，不如读万卷书...