如何通過JBoss反序列化淺談Java反序列化漏洞

今天就跟大家聊聊有關如何通過JBoss反序列化淺談Java反序列化漏洞，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

創(chuàng)新互聯公司堅持“要么做到，要么別承諾”的工作理念，服務領域包括：網站設計、網站制作、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯網時代的梨樹網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

前段時間學校學習J2EE，用到了jboss，順便看了下jboss的反序列化，再淺談下反序列化漏洞。

Java序列化，簡而言之就是把java對象轉化為字節(jié)序列的過程。而反序列話則是再把字節(jié)序列恢復為java對象的過程，然而就在這一轉一變得過程中，程序員的過濾不嚴格，就可以導致攻擊者惡意構造的代碼的實現。

舉個簡單的例子，jboss的反序列化漏洞出現在jboss\server\all\deploy\httpha-invoker.sar\invoker.war\WEB-INF\classes\org\jboss\invocation\http\servlet目錄下的ReadOnlyAccessFilter.class文件中的doFilter中。

public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
  throw IOException,ServletException
{
  HttpServletRequest httpRequest=(HttpServletRequest)request;
  Principal user=httpRequest.getUserPrincipal();
  if((user=null)&&(this.readOnlyContext!=null))
  { 
    ServletInputStream sis=request.getInputStream();
    ObjectInputStream ois=new ObjectInputStream(sis);
    MarshalledInvocation mi=null;
    try
    {
      mi=(MarshalledInvocation)ois.readObject();
    } 
    catch(ClassNotFountException e)
    {
      throw new ServletException("Failed to read MarshalledInvocation",e);
    }
    request.serAttribute("MarshalledInvocation",mi);

    mi.setMethodMap(this.namingMethodMap);
    Method m=mi.getMethod();
    if(m!=null){
      validateAccess(m,mi)
    }
  }
  chain.doFilter(request,response);
}

程序獲取http數據保存到了httpRequest中，序列化后保存到了ois中，然后沒有進行過濾操作，直接使用了readObject（）進行了反序列化操作保存到了mi變量中，這其實就是一個典型的java反序列化漏洞。

復現jboss反序列化漏洞（CVE-2017-12149）

靶機 xp_sp3 10.10.1.34

CVE-2017-12149的主要影響范圍是jbossas 5.x和6.x，下載jboss5.1.0 GA并安裝（需要有java環(huán)境）。運行時如果發(fā)現只能通過localhost或者127.0.0.1進行訪問，可以通過運行時增加命令 run.bat -b 0.0.0.0 ，或新建start.bat 內容run.bat -b 0.0.0.0

如何通過JBoss反序列化淺談Java反序列化漏洞