eSafe白帽資安網態勢發現最近2017年11月份,apache 環境爆出高危的反序列化漏洞，版本

號是Apache James 3.0.1 JMX，漏洞編號是CVE-2017-12628，apache官方具體介紹如下：該

漏洞被攻擊者可以用來執行任意管理員的命令，並可以提權到管理員權限，導致主機被入侵，

被攻擊。因為apache JMX使用了RMI，並且RMI對象可以遠程連接訪問，即使它們綁定到了本

地主機，因為Java將對像引用綁定到了“0.0.0.0”。BaRMIe利用本地端口轉發來攻擊綁定到本地

或內部IP地址的漏洞。

 

 

Apache漏洞詳情
 

 

首先我們在虛擬機的情況下，搭建apache環境，搭建apache 3.0.0版本，搭建完成後，我們看到

首先要去注意一下包含3.2.1.jar的所有文件，也可以立即生產一個含有該庫的POC提權工具，方

便我們能盡快的通過apache 反序列化漏洞進行任意命令的執行。啟動我們apache 主機，用

nmap工具監測並監聽java的端口。

 

 

在虛擬機上運行nmap命令，顯示Apache的服務，註冊服務綁定到了127.0.0.1:9999端口上，我

將BaRMIe複製到虛擬機來枚舉這個RMI註冊服務，發現外部的RMI服務實際上是JMX對象的RMI

對像服務，如下圖所示：eSafe白帽資安網公司是一家專注於：主機安全、網站安全、網站安全檢測、

網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。

 

 

 

使用BaRMIe的攻擊模式與通用JMX漏洞和Commons Collections 3.2.1，可以利用此服務來執行

任意的管理員命令，導致本地權限升級。除此之外，還發現一個情況，如果apache 主機使用

老版本的Java環境小於等於6u131,7u121或8u112等等版本也很容易受到apache 漏洞的攻擊。

 

 

apache漏洞利用
 

 

apache官方發佈安全通告，證明這是一個本地提管理員權限的一個漏洞，但是鑒於apache JMX

對象是在表面通過訪問來爆出的漏洞，大膽的判定可以通過遠程連接來利用。在我繼續遠程利用

之前，我想說明這個漏洞是可以遠程利用的，但是遠程攻擊涉及到基於網絡的暴力攻擊。為了快

速實現概念證明，我在虛擬機上使用tcpdump來捕獲到JMX對像服務的流量，同時運行BaRMIe

JMX漏洞利用工具執行命令“touch fooobaaar”。如下圖：eSafe白帽資安網公司是一家專注於：主機

安全、網站安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。



 

 

 

從虛擬機上進行遠程連接並發送攻擊數據，可以成功的向apache主機發起攻擊，並回顯漏洞的

參數，導致可以遠程執行任意命令，如下動態圖所示：重啟Apache James服務後，這個漏洞的

POC遠程發送數據竟然發送不成功。多次發送攻擊的數據包來進行安全分析，並進行一些安全測

試，發現可以降低漏洞利用的第三個數據包的一些差異。



以下是該數據包的前27個字節：

 

50aced00057722 9c4cdbcfdd205cf8 8304129e 0000015f43 47bba0
 

以藍色突出顯示的部分（47bba0）是動態變化的，但是它們的值可以從主機先前返回的響應數

據包中提取出來。以橙色突出顯示的部分（9c4cdbcfdd205cf8 ）是當主機啟動時生成的RMI對

象標識符。這個值來自RMI註冊服務，它僅在主機本地進行監聽端口。如果攻擊者可以強制或

以其他方式來獲取到這個8字節的值，也可以執行遠程命令。