|常见 Java Web 容器通用远程命令执行漏洞 - VULHUB开源网络安全威胁库

常见 Java Web 容器通用远程命令执行漏洞

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用反序列化操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。 ### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC[3]基于 common -collections 库生成序列化对象来对 JBoss 和 Jenkins 进行测试。(成功远程命令执行会在服务端 /tmp 目录下创建名为 isvuln 文件) #### 2.1. JBoss-6.1.0-Fianl 启动 JBoss,并检查 /tmp 目录文件: ![](https://images.seebug.org/1447211407935) 使用工具生成 Payload,并向 JBoss JMXInvokerServlet 发送包含序列化对象的请求: ![](https://images.seebug.org/1447211413988) 再次查看服务器上 /tmp 目录下文件: ![](https://images.seebug.org/1447211419809) 服务端在反序列化恶意构造的数据时导致命令执行,在 /tmp 目录下创建了 isvuln 文件。 #### 2.2. Jenkins-1.555 启动 Jenkins,并检查 /tmp 目录文件: ![](https://images.seebug.org/1447211427766) 使用工具生成 Payload,然后使用文中所提供的 PoC 进行漏洞测试: ![](https://images.seebug.org/1447211434060) 再次查看服务器上 /tmp 目录下文件: ![](https://images.seebug.org/1447211439652) 成功远程命令执行在 /tmp 目录下创建了 isvuln 文件。 ### 影响范围成功的进行远程命令执行需要满足两个条件: 1. Java应用使用了common-collections库; 2. Java应用有开放接口或者协议基于序列化的对象进行数据传播；满足上述条件后,攻击者通过向应用接口发送特定的 Payload,使服务端在对数据进行反序列化操作时执行任意命令。 ### 关联漏洞链接 1. JBoss “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89723 2. Jenkins “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89725 3. WebLogic “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89726 4. WebSphere “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89727 ### 参考链接 [1] http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ [2] https://github.com/frohoff/ysoserial [3] https://github.com/foxglovesec/JavaUnserializeExploits

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™