JBOSS漏洞

????Java反序列化RCE漏洞

CVE-2015-7501漏洞由于JBoss中invoker/JMXInvokerServlet路徑對外開放，JBoss的jmx組件支持Java反序列化

修復:

使用Winzip打開jar文件，在

org/apache/commons/collections/functors/InvokerTransformer.class刪除該文件。

CVE-2017-7504漏洞

CVE-2017-12149漏洞

CVE-2013-4810漏洞

與CVE-2015-7501漏洞原理相同，這里詳細介紹一下兩者的區別，其區別就在于兩個漏洞選擇的進行其中JMXInvokerServlet和EJBInvokerServlet利用的是org.jboss.invocation.MarshalledValue進行的反序列化操作，而web-console/Invoker利用的是org.jboss.console.remote.RemoteMBeanInvocation進行反序列化并上傳構造的文件。

JBoss后臺文件上傳的漏洞

CVE-2007-1036漏洞

其中war_name是部署war包的名稱，filename是我們想要上傳的文件名。漏洞利用過程就是將POC以GET或POST方式在/jmx-console/HtmlAdaptor路徑下進行傳入即可。

CVE-2010-0738漏洞

和CVE-2007-1036漏洞相同，唯一的區別是CVE-2010-0738漏洞利用了HTTP中HEAD請求方法，繞過了對GET和POST請求的限制，成功地再次利用jboss.admin -> DeploymentFileRepository -> store()方法上傳文件。

??CVE-2006-5750漏洞

和CVE-2007-1036漏洞相同，唯一的區別是CVE-2006-5750漏洞利用methodIndex進行store()方法的調用。其中methodIndex是通過方法的編號進行調用。?

?match?

JB?oss jmx-consoleHtmlAdaptor addURL() 文件上傳漏洞??

??此漏洞是?match?由于JBoss中/jmx-console/HtmlAdaptor路徑對?外開放，并且沒有任?match?何身份驗證機制，導致攻擊者可以進入到jmx控制臺，并在其中執行任何功能。該漏洞利用的是后臺jboss.deployment -> DeploymentScanner -> Java.net.URL類型 addURL()

方法，通過向一個參數傳入url進行訪問，在要訪問的url中構造帶有shell的war包，當服務器訪問時便會上傳shell。但是，上傳shell的文件只是一個映射文件，當url一旦無法訪問或者內部資源丟失，則服務器上的文件也會相應消失。??

JBoss seam2模板注入

CVE-2010-1871漏洞

??此漏洞是通過seam組件中插入#{payload}進行模板注入，我們可以在/admin-console/login.seam?actionOutcome=/success.xhtml?user%3d%23{}的#{}中插入我們要執行的方法，我們可以通過Java反射機制來獲取到Java.lang.Runtime.getRuntime().exec()方法，從而可以傳入任何想要執行的指令。