jboss漏洞利用

最新推荐文章于 2024-03-16 09:36:05 发布
最新推荐文章于 2024-03-16 09:36:05 发布
阅读量8.2k 收藏 5
点赞数
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mirror97black/article/details/79148356
版权
JBOSS

JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。

使用工具

msf,jexboss,zoomeye,fofa

下载jexboss

在github中搜索jexboss下载漏洞利用代码
这里写图片描述
还可以在kali中直接下载

git clone https://github.com/joaomatosf/jexboss.git #获取jexboss工具
搜索目标机

利用zoomeye搜索符合要求的ip
这里写图片描述
还可以通过fofa搜索
这里写图片描述
注意最好是用8080端口,国家是韩国或者日本,你懂的

找这个有用的网站,有一个小技巧,访问了很多网站,发现出现这个页面时,很可能出现漏洞

最低0.47元/天 解锁文章
mirror97black
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jboss漏洞利用工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
Jboss 反序列化 CVE-2017-12149
最新发布
npc88888的博客
05-12 333
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用。
Jboss漏洞利用总结1
08-03
JBoss 漏洞利用总结】 JBoss 是一款基于 J2EE 的开源应用服务器,遵循 LGPL 许可,允许在商业应用中免费使用。它主要作为 EJB 容器和服务器,支持 EJB 1.1、2.0 和 3.0 规范。虽然 JBoss 核心服务不包含 Web 容器...
Struts2及jboss漏洞利用工具
08-06
Struts2及jboss漏洞利用工具。非常好用本人几经尝试过。 Struts2的漏洞实用工具 ,以及jboss的jar cmd运行代码,良心出品
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
一次老版本jboss反序列化漏洞的利用分析
C20220511的博客
09-28 1204
所以我们直接利用ysoserial的Hibernate1利用链是不能成功的,但是仔细对Hibernate1利用链进行分析可以看出漏洞利用过程中的调用栈中并没有涉及到上述不存在的类,上述不存在的类主要用于设置一些类的属性字段,可以通过其他类来代替。这里可以看出jboss中引入的是CommonsCollections2.1的版本,而一般我们平时能利用的版本都是3.x。调试反序列化利用链的代码是一个很麻烦的事情,有兴趣的小伙伴可以把我上面的代码去跟一下,其中主要用到的调用过程如下。
随记(七):Jboss漏洞检测利用工具
XXR_Beta的博客
12-06 4265
Jboss漏洞检测利用工具0x01 安装方法0x02 使用方法 Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。 工具下载:https://github.com/joaomatosf/jexboss 此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。 0x01 安装方法 ## 克隆项目至本地
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
JBoss Autopwn: 快速且高效的自动漏洞利用工具
gitblog_00078的博客
03-16 429
JBoss Autopwn: 快速且高效的自动漏洞利用工具 什么是 JBoss Autopwn? JBoss Autopwn 是一个强大的自动化漏洞利用工具,专门针对 JBoss 应用服务器进行安全测试。它由 SpiderLabs 开发,可以轻松检测并利用 JBoss 应用服务器中的各种已知漏洞。 访问项目地址 JBoss Autopwn 能用来做什么? 自动化漏洞检测与利用 JBoss Auto...
JBOSS的一些漏洞
p656456564545的专栏
01-12 1988
http://olms.sinopec.com:80/invoker/JMXInvokerServlet http://edcard.sinopec.com:80/invoker/JMXInvokerServlet 还有一个就是未授权的访问
JBOSS /invoker/JMXInvokerServlet 利用工具
笨笨笨小猪的博客
12-08 7204
链接: http://pan.baidu.com/s/1F8bMI 密码: 1h2r 工具使用说明 1. 查看系统名称 java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 2
安全预警:JBoss 应用平台后门导致约320万服务器面临威胁
weixin_33890499的博客
07-03 93
事件的起因在于近期勒索软件事件大量扩散引起了思科安全研究人员的注意,后经其安全研究人员调查分析发现,其中大量案例皆因攻击者利用JBoss Java应用平台存在的漏洞,入侵企业服务器,并将勒索软件散播至所有与服务器连接的客户端上。 起因:SamSam勒索软件的大肆扩散 SamSam勒索软件(也被称为Samas),该勒索软件于今年3月中旬被微软公司所发现。而...
广泛JBOSS后门的一大威胁
曲终人散
06-11 977
最近大规模的勒索活动提供讪讪地改变了勒索交货的威胁环境。在服务器瞄准漏洞进行传播勒索是一个新的层面,已经多产的威胁。由于我们的思科IR服务团队提供的信息,从最近的客户互动所产生的,我们开始寻找更深的被用来作为妥协的初始点JBoss的载体。一开始,我们就开始扫描互联网易受攻击的机器。这使我们大约320万有风险的机器。   作为调查的一部分,我们扫描那些已经受到影响,并可能在等待一个勒索有效载
jboss --- 漏洞复现ysoserial工具
代码审计
04-27 1218
这里写目录标题 ssh 代理转发 访问物理机中的3388端口 就相当于访问虚拟机bihuo java中的 3389端口
深入浅出带你学习JBoss中间件常见漏洞
Spontaneous_0的博客
02-19 503
深入浅出带你学习JBoss中间件常见漏洞
tomcat weblogic jboss 漏洞
12-16
过去,Jboss也存在过一些漏洞,比如JMX控制台未授权访问漏洞和远程代码执行漏洞。这些漏洞可能会被利用来执行恶意操作和窃取数据。 为了防止这些漏洞对系统造成危害,用户应该及时安装官方发布的补丁和更新,加强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值