CVE-2017-7504
| ID: | 16991 |
|---|---|
| 标题: | CVE-2017-7504 |
| 描述: | Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 |
| 类型: | 反序列化漏洞 |
| 网站: | cyberstrikelab |
| 题目链接: | https://www.cyberstrikelab.com/ |
| 赛事: | cyberstrikelab |
| 年度: | 2017 |
| Flag值: | CVE-2017-7504是JBoss AS 4.x及之前版本中存在的反序列化漏洞,攻击者可通过特制序列化数据在目标系统执行任意代码 1 3。验证步骤包括:1. 搭建漏洞环境(如通过Docker+Vulhub);2. 使用工具(如JavaDeserH2HC或ysoserial.jar)生成恶意Payload;3. 通过HTTP POST请求发送Payload至/jbossmq-httpil/HTTPServerILServlet接口触发漏洞 2 5。 验证后的网址:https://cn-sec.com/archives/3466668.html |
| writeup: | https://www.cnblogs.com/Found404/p/14201473.html |