在默认安装JBOSS,http://localhost:8080就会有一个跟apachetomcat一样的漏洞,此漏洞可以上传war格式
的文件,系统会自动打开并解析此文件。如果war里面是一个JSP马。。。那就可想而知了。
当上传成功,直接打开JSP。就是administrator权限!
后面的就不用讲了,想干什么就干什么吧!
下面是我在网络上看到的一遍文章,针对JBOSS防御的方法。(本人没有去测试,因为我默认搭建了
JBOSS可是攻不了。哈哈,网上有JBOSS的利用工具!)
作者:SOLARIS小兵
MAIL:solarisxb@hotmail.com
BLOG:http://solarisxb.cublog.cn/
一、 前言:
Jboss默认安装以后,会默认打开http://127.0.0.1,显示如下:
JBoss Online Resources
? JBoss 4.0 documentation
? JBoss Wiki
? JBoss forums
JBoss Management
? Tomcat status (full) (XML)
? JMX Console
? JBoss Web Console
Jmx Console和Jboss Web Console 里面可以修改和删除应用的参数,如果不加强安全设置,将会带来严重安
全后果。
二、 关闭管理端口和相关统计信息:
1、 关闭jmx-console:
删除
/export/home/jboss-4.0.3SP1/server/default/deploy下目录jmx-console.war、management
2、 关闭web-console:
删除
/export/home/jboss-4.0.3SP1/server/default/deploy/jbossweb-tomcat55.sar下目录ROOT.war
****************************以上到这里为止就可以了*********
三、 关闭完成测试:
1、 http://127.0.0.1/jmx-console
2、 http://127.0.0.1/web-console
3、 http://127.0.0.1/jbossindex.html
4、 http://127.0.0.1/status
5、 测试结果:
测试人 时间
服务器 jmx-console web-console status jbossindex.html 测试
结果
Web1 正常
Webn 正常
3、 关闭status统计信息:
修改/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war/WEB-INF/web.xml
屏蔽其中jboss的内容:粗体为添加屏蔽符号:
查看复制到剪切板打印
<!--display-name>Welcome to JBoss </display-name>
<description>
Welcome to JBoss
</description>
<servlet>
<servlet-name>Status Servlet </servlet-name>
<servlet-class>org.jboss.web.tomcat.tc5.StatusServlet </servlet-class>
</servlet-->
<!--servlet-mapping>
<servlet-name>Status Servlet </servlet-name>
<url-pattern>/status </url-pattern>
</servlet-mapping-->
4、 删除jboss主页相目录和文件:
/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war下:
Manager/favicon.ico/jboss.css/jbossindex.html/logo.gif
lion:/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war # rm -rf manager favicon.ico
jboss.css jbossindex.html logo.gif
的文件,系统会自动打开并解析此文件。如果war里面是一个JSP马。。。那就可想而知了。
当上传成功,直接打开JSP。就是administrator权限!
后面的就不用讲了,想干什么就干什么吧!
下面是我在网络上看到的一遍文章,针对JBOSS防御的方法。(本人没有去测试,因为我默认搭建了
JBOSS可是攻不了。哈哈,网上有JBOSS的利用工具!)
作者:SOLARIS小兵
MAIL:solarisxb@hotmail.com
BLOG:http://solarisxb.cublog.cn/
一、 前言:
Jboss默认安装以后,会默认打开http://127.0.0.1,显示如下:
JBoss Online Resources
? JBoss 4.0 documentation
? JBoss Wiki
? JBoss forums
JBoss Management
? Tomcat status (full) (XML)
? JMX Console
? JBoss Web Console
Jmx Console和Jboss Web Console 里面可以修改和删除应用的参数,如果不加强安全设置,将会带来严重安
全后果。
二、 关闭管理端口和相关统计信息:
1、 关闭jmx-console:
删除
/export/home/jboss-4.0.3SP1/server/default/deploy下目录jmx-console.war、management
2、 关闭web-console:
删除
/export/home/jboss-4.0.3SP1/server/default/deploy/jbossweb-tomcat55.sar下目录ROOT.war
****************************以上到这里为止就可以了*********
三、 关闭完成测试:
1、 http://127.0.0.1/jmx-console
2、 http://127.0.0.1/web-console
3、 http://127.0.0.1/jbossindex.html
4、 http://127.0.0.1/status
5、 测试结果:
测试人 时间
服务器 jmx-console web-console status jbossindex.html 测试
结果
Web1 正常
Webn 正常
3、 关闭status统计信息:
修改/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war/WEB-INF/web.xml
屏蔽其中jboss的内容:粗体为添加屏蔽符号:
查看复制到剪切板打印
<!--display-name>Welcome to JBoss </display-name>
<description>
Welcome to JBoss
</description>
<servlet>
<servlet-name>Status Servlet </servlet-name>
<servlet-class>org.jboss.web.tomcat.tc5.StatusServlet </servlet-class>
</servlet-->
<!--servlet-mapping>
<servlet-name>Status Servlet </servlet-name>
<url-pattern>/status </url-pattern>
</servlet-mapping-->
4、 删除jboss主页相目录和文件:
/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war下:
Manager/favicon.ico/jboss.css/jbossindex.html/logo.gif
lion:/export/home/jboss-4.0.3SP1/server/default/deploy/ROOT.war # rm -rf manager favicon.ico
jboss.css jbossindex.html logo.gif