JBoss常见的漏洞原理

1. CVE-2017-12149 反序列化漏洞

• 漏洞原理：JBoss 的 HttpInvoker 组件中 ReadOnlyAccessFilter 过滤器未做任何安全检查，直接对客户端传入的数据流进行反序列化操作，攻击者构造恶意序列化代码，可触发恶意方法执行。

• 利用条件：① 靶机存在 JBoss 对应漏洞版本，且开启 8080 默认端口；② 可访问漏洞路径/invoker/readonly；③ 拥有恶意反序列化利用工具 / POC。

• 危害：远程攻击者无需认证即可执行任意系统命令，直接接管服务器，可进行文件读写、权限提升、数据泄露等操作，服务器完全沦陷。

2. JBoss Console 弱口令 + Webshell 漏洞

• 漏洞原理：JBoss 管理后台存在默认弱口令，攻击者登录后可利用后台的 WAR 包部署功能，上传包含 JSP 一句话木马的恶意 WAR 包，部署后即可通过木马控制服务器。

• 利用条件：① 可访问 JBoss 管理后台地址/admin-console/login.seam；② 存在已知弱口令（如 admin/admin、admin/jboss 等）；③ 后台开启 WAR 包部署功能，且无上传过滤。

• 危害：弱口令登录后台后可任意部署恶意程序，获取服务器操作权限，执行任意命令、窃取敏感数据、植入后门，服务器控制权被攻击者掌握。

二、WebLogic 相关漏洞

1. WebLogic 弱口令 + Webshell 漏洞

• 漏洞原理：WebLogic 管理后台存在默认弱口令，攻击者登录后利用后台的应用部署功能，上传含 JSP 木马的 WAR 包，部署成功后通过木马连接即可控制服务器。

• 利用条件：① 可访问 WebLogic 管理后台，默认端口 7001；② 存在已知弱口令（weblogic/Oracle@123）；③ 后台部署功能无严格的文件校验和权限限制。

• 危害：登录后台后可任意部署恶意应用，获取服务器操作权限，执行任意命令、泄露企业核心数据、植入持久化后门，影响企业应用服务正常运行。