JBOSS jexboss自动化渗透

最新推荐文章于 2024-04-21 16:45:41 发布
最新推荐文章于 2024-04-21 16:45:41 发布
阅读量479 收藏 1
点赞数
分类专栏: vulhub 文章标签: jboss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/119994537
版权

jexboss自动化渗透
jexboss是针对jboss渗透自动化估计武器,是用于测试和利用JBoss Application Server和其他java平台、框架、应用程序等中的漏洞的工具。

下载地址:https://github.com/joaomatosf/jexboss

这里演示的环境是我上面搭建的4.x和6.x的环境。

输入命令

python jexboss.py -host http://192.168.100.34:8080

可以看到很红色“vulnerable”,就是存在漏洞
继续输入yes的话,开始exp
在这里插入图片描述

继续输入yes的话,开始exp,获得shell
请添加图片描述

参考文章:

JBoss中间件漏洞总结

樱浅沐冰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试之地基服务篇:服务攻防之中间件JBoss
HBohan的博客
09-22 368
简介 渗透测试-地基篇 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 一、前言 中间件是介于应用系统和系统软件之间的一类软件,它使
jexboss
qq_44881113的博客
07-12 414
Installation on Windows 1 安装python2 2 安装 git for windows 3 在jexboss文件夹下运行git for windows 设置python2的环境路径 PATH=$PATH:C:\Python27\ PATH=$PATH:C:\Python27\Scripts 如果还没下载jexboss git clone https://github.com/joaomatosf/jexboss.git cd jexboss
配置JBOSS自动重链接数据库
08-10
JBOSS自动重链接数据库如何配置
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
iwebsec靶场 中间件漏洞通关笔记3-Jboss中间件漏洞
最新发布
mooyuan的博客
04-21 1020
JBoss是一套开源的企业级Java中间件系统,用于实现基于SOA的企业应用和服务,基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。
Karma和Jasmine自动化单元测试
02-26
在Java领域,Apache,Spring,JBoss三大社区的开源库,包罗万象,但每个库都在其领域中都鹤立鸡群。而Nodejs中各种各样的开源库,却让人眼花缭乱,不知从何下手。Nodejs领域:Jasmine做单元测试,Karma自动化完成单元测试,Grunt启动Karma统一项目管理,Yeoman最后封装成一个项目原型模板,npm做nodejs的包依赖管理,bower做javascript的包依赖管理。Java领域:JUnit做单元测试,Maven自动化单元测试,统一项目管理,构建项目原型模板,包依赖管理。Nodejs让组合变得更丰富,却又在加重我们的学习门槛。我还说不清楚,也看不透!上面
JBoss HttpAdaptor JMXInvokerServlet漏洞利用
a1b2c3是弱口令
11-22 3230
项目地址 https://github.com/joaomatosf/jexboss 项目简介 jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。 使用方法 git clone https://github.com/joaomatos...
深入浅出带你学习JBoss中间件常见漏洞
Web_boom的博客
02-16 841
简单来说可以介绍为一个开源的符合J2EE规范的应用服务器,作为J2EE规范的补充,Jboss中引入了AOP框架,为普通Java类提供了J2EE服务,而无需遵循EJB规范。该中间件的特点如下:它将具有革命性的JMX微内核服务作为其总线结构;它本身就是面向服务的架构(Service-Oriented Architecture,SOA);它还具有统一的类装载器,从而能够实现应用的热部署和热卸载能力。了解完JBOSS中间件的介绍,下面我们来讲关于该中间件的漏洞。
JexBoss反序列化漏洞(JMXInvokerServlet)
红队是青春
05-26 897
## jexboss(JMXInvokerServlet)原理 JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码,可以利用用户传入的方法,反弹shell,拿下服务器权限。 ```python exp下载地址:https://github.com/joaomatosf/jexboss ``` ## 影响范围 JBoss Enterprise Appl.
Jexboss的利用
qq_41409656的博客
01-23 2884
下载链接:https://github.com/joaomatosf/jexboss jexboss是检测jboss漏洞的一个工具 运行环境kali,下图为jeboss的利用说明 通过访问网络空间搜索引擎, 就能发现一些然后慢慢去测试 https://fofa.so/ https://www.zoomeye.org/ 通过 -u 参数去寻找,这寻找的
利用JBOSS漏洞抓肉鸡
404
01-23 7030
JBOSS是中间件,解析JSP的文件,由于中间件爆发漏洞一般很少人打补丁,这次我们利用jboss漏洞抓肉鸡。 利用工具:jexboss-master 这个工具是Python写的在我的资源里面已经分享可以下载,也可以自己在github上面寻找 网络搜索引擎:zoomeye(钟馗之眼) 在抓肉鸡之前我们要明白目标,那就是使用jboss中间件的服务器 进入zoomeye搜索关键词jboss(这
Jboss漏洞利用小工具
11-06
jboss利用 jboss漏洞
jboss_CVE_2017_12149.py
01-04
jboss_CVE_2017_12149漏洞poc
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
渗透测试-JBoss 5.x/6.x反序列化漏洞
道阻且长,行则将至。
07-08 1703
漏洞概述 2017年8月30日,Redhat公司发布了一个JbossAS 5.x系统的远程代码执行严重漏洞通告,相应的漏洞编号为 CVE-2017-12149。近期有安全研究者发现JbossAS 6.x也受该漏洞影响,攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。 类型 描述 漏洞名称 JBOSSAS5.x/6.x反序列化命令执行漏洞 威胁类型 远程命令执行 威胁等级 高 漏洞ID CVE-2017-12149 受影响系统及应用版本 Jboss AS 5.x、Jbos
JBOSS渗透复盘记录
m0_59598029的博客
01-31 201
逛先知社区的时候发现一篇文章,刚好闲来无事,打算复现一波,FOFA找了几个点后,成功的找到了一个存在漏洞的站点,我以为这次练手会是一帆风顺,结果浪费了不少时间。在命令行的过程中使用find …/ -name *.不停的在找网站的根路径,最后找到了,通过echo去写文件,写进去后,发现无法解析,原因是没有配置文件导致的,然后再翻找的过程中发现这个网站还能未授权访问。
jboss反序列化漏洞实战渗透笔记
weixin_30664615的博客
04-20 314
一.利用shodan,fofa或谷歌搜索关键字:8080/jmx-console/ 二.下载java反序列化终极测试工具进行验证漏洞 三.记住User Current Directory: C:\jboss-6.1.0.marks\ (ps:这是网站的根目录) 四.war文件的部署 JBoss支持热部署,也就是war文件部署到服务器上后不需要重新启动JBoss(Tom...
JBOSS未授权访问漏洞利用
Fuzz
02-25 619
1. 环境搭建 https://www.cnblogs.com/chengNo1/p/14297387.html 搭建好vulhub平台后 进入对应漏洞目录 cd vulhub/jboss/CVE-2017-7504/ 开启环境 docker-compose up -d 2. 访问 http://172.16.12.15:8080/ 进入后台。点击JMX Console 3. 漏洞利用工具 1、下载地址:https://github.com/joaomatosf/jexboss 2、cd jexboss
渗透测试.JBOSS
qq_34012951的博客
04-04 236
JBoss是一个管理 EJB 的容器和服务器,支持 EJB 1.1、EJB 2.0 和 EJB3.0 的 规范。本身支持EJB规范和集群,能够集成tomcat等servlet容器,但因其性能上的缺陷,被很多项目放弃。JBoss 是开源的,所以安全性相对来说比较低,万一应用服务 器本身有什么漏洞,你是没办法向 Apache 索赔的。J2EE的项目,主要的用户是: 银行、医院、航空公司,大型工厂。例如,ERP,SOA.添加恶意war包访问路径。1、什么是JBoss
jboss反序列化漏洞
08-16
JBoss反序列化漏洞是指JBoss应用服务器中存在的一种安全漏洞,具体表现为Java反序列化错误类型。该漏洞存在于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值