Jboss反序列化漏洞

于 2023-10-14 22:40:38 发布
阅读量234 收藏 1
点赞数
分类专栏: it 文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arissa666/article/details/133832762
版权

run.bat运行jboss

看下server.xml 端口设置的多少

打开jboss

用jboss反序列工具进行扫描

执行命令,因为存在jboss存在漏洞,所以执行命令得到结果

找一下jboss的目录  dir /s c:\*.jsp

先选一个jboss目录上传试一下

把斜杠改成反斜杠

给这个目录上传一个脚本csits.jsp

上传后在当前目录就可以看到

查看上传的文件网址

http://192.168.246.11:3333/jobfan/csits.jsp结构是IP:端口/文件夹/脚本文件名

登录密码whoami

在自己上传的文件上执行命令得到自己想要的信息

dir命令

学海无涯一叶扁舟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
jboss反序列化漏洞
weixin_48776804的博客
05-11 267
jboss反序列化漏洞
JBoss反序列化
最新发布
Massimo__JAVA的博客
07-15 519
jBoss是一个基于J2EE的开发源代码的应用服务器JBoss代码遵循LGPL许可, 可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、 EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。
反序列化JBOSS反序列化
zh的博客
10-15 382
靶场地址:http://whalwl.site:8037/ 解题准备:反序列化基本原理 解题思路: 1、访问首页,发现有管理员后台链接,点击后获得JBOSS版本 JBoss AS 6 Admin Console 2、网上搜索相关漏洞 访问这个地址报500,说明漏洞存在 3、下载漏洞利用工具,填写刚才的漏洞地址,检测存在漏洞,执行相关系统命令获取flag 4、工具直接执行命令 ...
Jboss漏洞利用工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
java反序列化漏洞利用工具Jboss&WebLogic;.rar
07-23
jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出...
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用。
Struts2及jboss漏洞利用工具
08-06
Struts2及jboss漏洞利用工具。非常好用本人几经尝试过。 Struts2的漏洞实用工具 ,以及jboss的jar cmd运行代码,良心出品
Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具
02-12
weblogic反序列化jboss反序列化测试payload,仅供运维人员测试漏洞,请勿非法使用,否则后果自负!
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
随记(七):Jboss漏洞检测利用工具
XXR_Beta的博客
12-06 4407
Jboss漏洞检测利用工具0x01 安装方法0x02 使用方法 Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。 工具下载:https://github.com/joaomatosf/jexboss 此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。 0x01 安装方法 ## 克隆项目至本地
jexboss工具 -- JBOSS未授权访问漏洞利用
qq_50854662的博客
10-30 435
其实所有的节日,都不是为了礼物和红包而生,而是提醒我们不要忘记爱与被爱,生活需要仪式感,而你需要的是在乎和关爱。。。 ----  网易云热评 小受:Ubuntu20 小攻:Kali2020   一、搭建该漏洞环境 查看上一篇文章: Ubuntu20安装docker并部署相关漏洞环境   二、访问http://192.168.77.136:8080/进...
jboss --- 漏洞复现ysoserial工具
代码审计
04-27 1235
这里写目录标题 ssh 代理转发 访问物理机中的3388端口 就相当于访问虚拟机bihuo java中的 3389端口
JBOSS漏洞精简利用
SoulCat
02-25 862
JBOSS漏洞大杂烩 所谓,一见钟情不过见色起意,日久生情不过权衡利弊。人生来就是孤单的。 文章目录JBOSS漏洞大杂烩反序列化:未授权/弱口令/getshell:绕waf: 反序列化: JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501) 原理: 此漏洞主要是由于JBoss中invoker/JMXInvokerServlet路径对外开放,并且JB...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值