JBoss漏洞:JBOSS反序列化漏洞合集

JBOSS反序列化漏洞合集,由于反序列化漏洞的攻击方式都是一样的，只是漏洞发生的文件和成因不同，所以就以JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)为例子过一遍流程

JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)

该漏洞存在于http invoker组件的ReadOnlyAccessFilter的doFilter中，在/invoker/readonly请求中，服务器将用户提交的POST内容进行了Java反序列化

使用环境：Vulhub - Docker-Compose file for vulnerability environment

JBOSS反序列化漏洞验证：

访问:8080/invoker/readonly，页面返回状态码500说明存在漏洞

使用JavaDeserH2HC攻击

使用工具JavaDeserH2HC

下载地址：