网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

靶场科普 | 中间件之Jboss反序列化漏洞

发表时间:2021-07-23 15:14

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳

靶场介绍:

中间件之Jboss反序列化漏洞


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“中间件之Jboss反序列化漏洞”。


一、实验介绍

1.漏洞描述

Jboss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。

二、实验目的

1.了解jboss反序列化漏洞简介

2.了解jboss反序列化漏洞的产生方式

3.掌握检测修复jboss反序列化漏洞技术

三、实验步骤

1.打开实验连接,查看实验环境,

2.按照解题思路进行实验操作,出现问题做好记录,总结分析

四、修复建议

1.升级版本
2.不需要的http-invoker.sar组件,删除此组件

速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~