Java war打包和解压命令

      涉及到JBoss不合理配置时,可以非授权访问jmx-console,这样就可以部署恶意war文件,得到JBoss服务器的webshell,进而可以进一步渗透得到服务器权限乃至内网漫游。

      关于JBoss配置不当的攻击思路,网络上有许多相关的资料。可以参照链接:http://drops.wooyun.org/papers/178http://www.hack80.com/thread-22662-1-1.html。涉及到部署war包时,有的是在eclipse中进行操作,其实在命令行下也是可以进行的。既然只是部署webshell,那就用最简单的命令行下的操作吧。

      其实这个网上也有很多资料。我只是收集下,自己做个笔记,方便日后查看。准备部署的war文件需要包含*.jsp文件和一个WEB-INF的文件夹,其中WEB-INF文件夹要包含一个web.xml的文件。其格式可以参照如下:

<?xml version="1.0" ?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
	<servlet>	
		<servlet-name>JspSpy Shell</servlet-name>
		<jsp-file>/JspSpy.jsp</jsp-file>
	</servlet>
</web-app>

      在命令行下,进入需要打包的目录,如下图所示:

02

      接下来,执行jar命令,格式为:

      jar cvf 打包文件名称 要打包的目录 打包文件保存路径

      如下图所示:

03

      解压命令自然就是:

      jar xvf cmd.war

      如下图所示:

04

      好了,到此为止。这个比在eclipse下面打包要简单。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值