探索Jolokia的世界:JET——你的Jolokia利用工具箱

最新推荐文章于 2024-09-28 07:29:58 发布
最新推荐文章于 2024-09-28 07:29:58 发布
阅读量377 收藏 7
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00031/article/details/139541835
版权

探索Jolokia的世界:JET——你的Jolokia利用工具箱

去发现同类优质开源项目:https://gitcode.com/

项目介绍

Jolokia Exploitation Toolkit(JET) 是一个专为暴露的Jolokia端点设计的开源工具包。它帮助安全专家和开发者识别并利用Jolokia协议桥所带来的潜在风险。通过这个工具,你可以更好地理解与管理MBeans(Java Management Beans)的HTTP交互,并进行安全审计。

Jolokia

项目技术分析

Jolokia是一种协议桥,允许用户通过HTTP接口操作MBeans。尽管提供了便捷性,但这种暴露的“JMX特性”可能带来安全隐患,因此应避免直接暴露 /jolokia 端点,并在内部网络中使用时设置严格的认证机制。JET集成了Python环境,提供了一个名为 jolokia-parser.py 的脚本,用于解析远程或本地获取的Jolokia信息,并导出可读的URL列表。

项目及技术应用场景

JET适用于:

  1. 针对Java项目的安全评估,特别是那些部署了Jolokia服务的应用。
  2. 找寻未受保护的 /jolokia/actuator/jolokia 终点。
  3. 在容器化环境中(如Docker)快速测试Jolokia配置的正确性。
  4. 演示并研究JMX漏洞利用场景。

项目特点

  1. 易用性:通过简单的命令行接口,可以快速启动测试环境,解析Jolokia数据,并找出可能存在风险的操作。
  2. 灵活性:支持远程URL解析和本地JSON文件处理,适应不同情况下的分析需求。
  3. 洞察力:提供了针对性的搜索功能,能快速定位敏感MBeans和信息泄露点。
  4. 实用性强:包含了多种针对Jolokia的安全测试示例和payload,如JSP payload和JNDI注入。

例如,以下是如何使用JET的简要步骤:

# 创建虚拟环境并安装依赖
virtualenv -p python3 .venv && source .venv/bin/activate
pip install -r requirements.txt

# 解析远程URL
python jolokia-parser.py http://127.0.0.1/jolokia | tee jolokia-parsed.lst
# 从本地JSON文件中解析
curl http://127.0.0.1/jolokia/list -o jolokia-list.json
python jolokia-parser.py jolokia-list.json | sed 's#^/jolokia#http://127.0.0.1/jolokia#g' | tee jolokia-parsed.lst

通过这些简单的命令,你就可以深入探索Jolokia背后的潜在威胁,为你的应用安全提供保障。

总而言之,无论你是安全研究人员还是Java开发人员,JET都是一个值得尝试的工具,它能够帮助你确保系统免受Jolokia端点暴露带来的风险。加入到JET的社区,一起探索和学习更多有关Jolokia和JMX的知识吧!

去发现同类优质开源项目:https://gitcode.com/

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

利用Jolokia-agent通过http服务方式获取debezium-mongodb的监控指标
yiqian1989的博客
03-18 180
jolokia是java进程的一个agent,可以获取java应用中各类MBean信息,并以http json的形式提供服务。
Jolokia: 功能强大的 Java 远程调试工具
gitblog_00002的博客
03-09 882
Jolokia: 功能强大的 Java 远程调试工具 jolokia JMX on Capsaicin 项目地址: https://gitcode.com/gh_mirrors/jo/jolokia 是一个用...
Jolokia介绍及使用
yangkei
09-28 2709
Jolokia介绍,使用
Spring Boot jolokia 配置不当导致RCE漏洞
Bird&Bird
03-16 6089
访问 /jolokia/list 接口,查看是否存在 ch.qos.logback.classic.jmx.JMXConfigurator 和 reloadByURL 关键词。根据实际情况修改 springboot-realm-jndi-rce.py 脚本中的目标地址,RMI 地址、端口等信息,然后在自己控制的服务器上运行。普通 JNDI 注入受目标 JDK 版本影响,jdk < 6u201/7u191/8u182/11.0.1(LDAP),但相关环境可绕过。环境运行起来后,访问一下/jolokia接口。
Jolokia 项目使用教程
最新发布
gitblog_01134的博客
09-28 1242
Jolokia 项目使用教程 jolokia JMX on Capsaicin 项目地址: https://gitcode.com/gh_mirrors/jo/jolokia ...
Jolokia架构介绍
weixin_33701564的博客
07-08 663
为什么80%的码农都做不了架构师?>>> ...
jolokia-dashboard:jolokia 的仪表板应用程序
06-25
Jolokia 仪表板 这是 jolokia 的一个小型仪表板应用程序。 安装 $ sudo yum install ruby $ gem install bundler $ bundle install $ JOLOKIA_CONFIG=/path/to/your/config.rb bundle exec ruby jolokia-dashboard....
jolokia-extra:Jolokia 的附加组件,HTTP-JMX 桥接器
06-30
jolokia-extra - Jolokia 插件 jolokia-extra的目的是为提供一大堆扩展,这些扩展要么是特殊的,要么是大的以包含在常规发行版中。 JSR-77 简化器 最初由 Marcin Płonka 作为对 Jolokia 的提供,一组简化器可用于更...
jolokia-js-client:Jolokia JavaScript 客户端的实现
06-29
重要如果你在浏览器中使用这个库而不使用 browserify 或等效工具,请使用dist/jolokia.js (或dist/jolokia.min.js )而不是package.json声明的main文件。 重要如果你在浏览器中使用这个库,你需要包含你自己的 ...
阿里云java源码-Spring-Boot-Actuator-Exploit:SpringBootActuator(jolokia)XXE/R
06-06
和以下资源访问以下资源/actuator/jolokia或/jolokia : reloadByURL ,这篇文章可以帮助您利用 XXE 并最终利用 RCE。 设置环境: git clone https://github.com/artsploit/actuator-testbed cd actuator-testbed ...
jmx2graphite:在一个命令行(基于Docker)中每隔X秒将JMX转换为Graphite(也以Java Agent形式出现)
05-16
jmx2石墨 jmx2graphite是用于轮询JMX的单线工具,并写入Graphite(默认为每30秒写入一次)。 您可以在要轮询其JMX的每台计算机上安装并运行它。 目前,它具有两种口味: Docker镜像从运行在JVM上的jolokia代理读取JMX,因为通过Jolokia代理公开JMX是最简单,最容易的(1个衬里-参见下文)。 作为Java代理运行,并直接从MBean平台获取指标 报告的指标具有以下名称模板: [服务名称]。[服务主机]。[度量名称] service-name是运行jmx2graphite时提供的参数。 例如“ LogReceiever”或“ FooBackend” service-host是运行jmx2graphite时提供的参数。 如果未提供,则为jolokia URL的主机名。 例如:“ 172_1_1_2”或“ log-receiver-1_fo
jolokia-metrics-exporter:一项将钟表指标导出到普罗米修斯的服务。 https上的Docker映像
05-28
jolokia-metrics-exporter 该项目类似于来自的官方prometheus jmx_exporter,但确实支持从外部jolokia端点获取数据。 用法 要使jolokia-metrics-exporter正常运行,您需要在/usr/src/app/config.yaml或任何其他位置...
Jolokia 笔记 (Kafka/start/stop)
云满笔记
09-20 864
Jolokia 笔记 (Kafka/start/stop)
jolokia使用心得
weixin_34290390的博客
09-08 1221
2019独角兽企业重金招聘Python工程师标准>>> ...
jolokia 学习心得
大飞的江湖
10-21 3082
Jolokia是一个利用JSON通过Http实现JMX远程管理的开源项目。具有快速、简单等特点。除了支持基本的JMX操作之外,它还提供一些独特的特性来增强JMX远程管理如:批量请求,细粒度安全策略等。 JMX:(Java Management Extensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。 Mbean:描述一个可管理的资源。是一个java对象。
Springboot之actuator配置不当漏洞RCE(jolokia
墨痕诉清风的博客
10-25 4993
日穿扫描扫到一个spring boot actuator 可以看到有jolokia这个端点,再看下jolokia/list,存在type=MBeanFactory 关键字 可以使用jolokia-realm-jndi-rce具体步骤如下 先用python3开一个web服务 python3 -m http.server 8080 编译java利用代码 /** * javac -source 1.5 -target 1.5 JNDIObject.java * * Buil..
使用Jolokia和JMX进行客户端服务器监视
最佳 Java 编程
05-08 958
Java监视工具的选择非常广泛(由Google提供的随机选择和顺序): javamelody 压力探头 JVisualVM 控制台 贾蒙 Java JMX Nagios插件不适用 此外,还有各种专用工具,例如ActiveMQ , JBoss , Quartz Scheduler , Tomcat / tcServer ……那么您应该使用...
elk基于jolokia监控springboot应用jvm方案
dhaibo1986的专栏
07-22 1053
文章目录一 springboot 项目配置二 beats配置二 logstash配置二 kibana监控图 目前大部分应用都采用springboot 的方式部署,springboot 采用jar包发布,而jvm的运行状态又比较关键,因此用elk对jvm监控进行了集成,步骤如下: 一 springboot 项目配置 对于springboot项目,需要的配置是在pom文件里面增加对jolokia的支持: <!--开启springboot 健康监控 --> <dependency>
SpringBoot漏洞
热门推荐
weixin_51151498的博客
01-19 1万+
spring漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廉欣盼Industrious

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值