提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
前言
网安学习day7:本文记录学习Jboss工具检测漏洞。
一、JBOSS是什么?
JBoss是一套开源的企业级Java中间件系统,主要用于实现基于SOA(面向服务的架构)的企业应用和服务。它是一个基于J2EE(Java 2 Platform, Enterprise Edition)的开放源代码应用服务器,由Red Hat公司开发和维护。
二、反序列化漏洞
程序在进行反序列化时,会自动调用一些函数,如果传入函数的参数被攻击者控制,攻击者可以利用恶意代码导致反序列化漏洞。
反序列化命令执行漏洞可以让攻击者利用漏洞在不经过身份验证的服务器,主机上随意更改配置,修改权限,窃取数据等等。
三、实验步骤
1.fofa查询Jboss
2.检测漏洞
利用jboss综合利用工具检测目标网站的漏洞
查看ip配置
3.dir查看文件
4.找到漏洞
win-pum8c871vm8\administrator
5.cmd创建文件
通过md命令在对方电脑系统中创建txt文件
6.查看文件
再次查看文件发现新创建的txt文件
7.cmd删除文件
8.cmd删除文件
总结
在正式开展渗透测试之前,我首先进行了充分的情报收集工作。通过搜索引擎、Whois查询、子域名枚举等手段,我获取了目标网站的基本信息、服务器配置以及可能存在的服务端口。特别地,我注意到目标网站部署了JBoss应用服务器,这为我后续的渗透测试提供了重要的线索。
利用测试工具,我首先对目标网站进行了全面的漏洞扫描。扫描过程中,我发现了几个较为明显的安全漏洞。在成功获得目标网站的访问权限后,我进行了文件增删操作。
这次利用JBoss综合利用工具进行渗透测试的经历让我受益匪浅。它不仅锻炼了我的技术能力和实战经验,也让我更加深刻地认识到了网络安全的重要性和复杂性。
扫一扫
506
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
