0x00. 漏洞描述

2017年9月14日，国家信息安全漏洞共享平台（CNVD）收录了JBOSS Application Server反序列化命令执行漏洞（CNVD-2017-33724，对应CVE-2017-12149），远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开，近期被不法分子利用出现大规模攻击尝试的可能性较大。

0x01. 漏洞复现

1). 环境准备

1. JBOSS下载地址：http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip

2. EXP下载地址：https://github.com/yunxu1/jboss-_CVE-2017-12149

2). 环境搭建

第一步：下载JBOSS环境，并解压

wget http://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip

第二步：修改配置文件，使网络中的主机都能访问JBOSS

vim ~/jboss-6.1.0.Final/server/default/deploy/jbossweb.sar/server.xml

第三步：启动JBOSS

./jboss-6.1.0.Final/bin/run.sh

第四步：下载EXP

git clone https://github.com/yunxu1/jboss-_CVE-2017-12149

3). 信息收集

第一步：利用nmap对目标主机进行常用端口扫描

nmap 192.168.1.111 -A

第二步：访问目标主机的8080端口，看看能否正常访问

4). 漏洞利用

利用刚才下载好的EXP进行漏洞利用，打开jboss反序列化_CVE-2017-12149.jar

0x02. 总结

  行千里路，不如读万卷书...