我们在JBoss安 装目录/server/default/config下找到它,并进行JBoss配置。查找名字为:jmx-console的application- policy:
<application-policy name = "jmx-console">
<authentication>
<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
flag = "required">
<module-option name="usersProperties">props/jmx-console-users.properties</module-option>
<module-option name="rolesProperties">props/jmx-console-roles.properties</module-option>
</login-module>
</authentication>
</application-policy>
在此处可以看出,登录的角色、用户等的信息分别在props目录下的jmx-console-roles.properties和jmx-console-users.properties文件中设置,分别打开这两个文件。
其中jmx-console-users.properties文件的内容如下:
该文件定义的格式为:用户名=密码,在该文件中,默认定义了一个用户名为admin,密码也为admin(我这里是vulhub)的用户,读者可将其改成所需的用户名和密码。
#A sample users.properties file for use with the UsersRolesLoginModule
admin=admin
jmx-console-roles.properties的内容如下:
A sample roles.properties file for use with the UsersRolesLoginModule
admin=JBossAdmin, HttpInvoker
该文件定义的格式为:用户名=角色,多个角色以“,”隔开,该文件默认为admin用户定义了JBossAdmin和HttpInvoker这两个角色(权限)
配置完成后读者可以通过访问: http://localhost:8088/jmx-console/ ,输入jmx-console-roles.properties文件中定义的用户名和密码,访问jmx-console的页面。
++++++++++++++++++++++++++++
参考文章
jboss的配置和使用教程_window
JBoss用户名和密码配置教程
【漏洞公告】JBoss JMX 控制台弱口令漏洞
寻找Jboss网站根目录
这里我是用的扫描目录的方法找的,状态200,说明访问正常。
那么我们就去访问这个文件,看在不在,如果在的话,就说明是对的。
可以看到,访问到了,说明文件存在。
既然能访问到这个文件。那么我就去找到这个文件的所在路径。从访问的地址来看,文件所在的路径就是网站根目录
最后发现。这个文件在在四个目录。那么们分别写入自己创建的文件,如果能访问到,那么就是网站根目录
了
最后在/jboss-6.1.0.Final/server/default/deploy/ROOT.war
目录写入文件就访问到了
这就是jboss的网站根目录
/jboss-6.1.0.Final/server/default/deploy/ROOT.war
参考文章
JBoss怎么修改默认主目录路径
Jboss弱口令
默认端口:8080
Jboss常见弱口令:
admin/admin
jboss/admin
admin/jboss
admin/123456
admin/password