为JBoss jmx-console增加验证

最新推荐文章于 2023-06-02 15:02:14 发布
最新推荐文章于 2023-06-02 15:02:14 发布
阅读量281 收藏
点赞数
分类专栏: JBoss 文章标签: JBoss Web Security XML Access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/roland101/article/details/83496017
版权

一、打开jmx-console安全控制

        1.在deploy/jmx-console.war/WEB-INF/目录下,找到jboss-web.xml,解开对 

<security-domain>java:/jaas/jmx-console</security-domain>

     的注释。

 

        2.在同一目录下,打开web.xml。取消对

<security-constraint>
     <web-resource-collection>
       <web-resource-name>HtmlAdaptor</web-resource-name>
       <description>An example security config that only allows users with the
         role JBossAdmin to access the HTML JMX console web application
       </description>
       <url-pattern>/*</url-pattern>
       <http-method>GET</http-method>
       <http-method>POST</http-method>
     </web-resource-collection>
     <auth-constraint>
       <role-name>JBossAdmin</role-name>
     </auth-constraint>
   </security-constraint>

    的注释。

 

     3.在server/xxx/conf/props目录下,修改里的jmx-console-roles.properties,jmx-console-users.properties,用户名密码。

 

roland101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jmx-console的配置
brainwkernighan的专栏
11-23 490
<br /> <br /> <br /> <br />i) server/default/deploy/jmx-console.war/web-inf:jboss-web.xml;web.xml<br />前者设置web应用的安全性域,后者设置登录的角色<br />ii)server/defualt/conf/login-conf.xml该文件存放一些与安全有关系的设置<br />从上面的xml中可以查看到配置用户名密码和权限的文件,默认为admin=admin
JMX Console 未授权访问漏洞
懂进攻知防守
07-23 4808
JbosswebUI界面http//ipport/jmx-console未授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
常见未授权访问漏洞修复
最新发布
qq_41945550的博客
06-02 4586
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
JBoss未授权访问漏洞Getshell过程复现
道阻且长,行则将至。
06-21 3225
文章目录前言漏洞复现漏洞描述靶场搭建漏洞利用防御手段Jexboss脚本 前言 在 2021 年第五届强网杯全国网络安全挑战赛的 EasyWeb 赛题中遇到了 JBoss 未授权访问漏洞 GetShell 的漏洞场景(2021强网杯全国网络安全挑战赛Writeup),当时一脸懵圈,故在此进行学习记录下。 漏洞复现 JBoss 是一个管理 EJB 的容器和服务器,支持 EJB 1.1、EJB 2.0 和 EJB3 的规范。但 JBoss 核心服务不包括支持 servlet/JSP 的 WEB 容器,一般与 To
JMX安全漏洞修复 服务端增加用户名和密码验证机制
zhaoshuangjian
04-27 1325
JMX安全漏洞修复 服务端增加用户名和密码验证机制
jboss-eap-6.3.0
04-25
3. **管理工具**:JBoss EAP 6.3.0提供了一套管理工具,包括命令行界面(CLI)、图形用户界面(GUI)的Management Console,以及远程管理API,方便管理员监控和管理服务器及其部署的应用。 4. **安全特性**:EAP ...
Jboss漏洞利用总结1
08-03
- JBoss 管理控制台 JMX-ConsoleWeb-Console 在早期版本如 JBoss 4.x 中,路径分别为 `/jmx-console/` 和 `/web-console/`。配置文件分别位于 `jmx-console.war/WEB-INF/jboss-web.xml` 和 `console-mgr.sar/...
015-jboss.pptx
10-22
- **集群支持**:JBoss支持集群部署,提高可用性和负载均衡,但集群环境下的安全策略需要额外关注,比如跨节点的身份验证和授权。 - **权限控制**:限制对JBoss管理接口的访问,只允许特定IP或用户进行管理操作,...
jboss服务器的详细配置
04-06
4. 修改`login-config.xml`,添加或更新名为`jmx-console`的`application-policy`,配置`UsersRolesLoginModule`作为认证模块。 完成上述步骤后,重启JBoss服务器,访问JMX控制台时将要求输入用户名和密码。 二、...
Jboss基础教程
09-30
一旦服务器启动成功,你就可以通过在浏览器中打开 jmx-console验证所有的 J2EE 服务是否都启动了。 知识点七:关闭 Jboss 关闭 Jboss,只需要简单的按下 Ctrl+C 即可。如果在 Windows 下不能看见命令行窗口: ...
Jboss漏洞利用小工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
jmx三种访问方式
12-18
Jmx简单应用,http页面方式,vm参数方式,rmi方式
JBOSS 未授权访问漏洞复现学习
0nc3的博客
12-18 1417
0x00 漏洞简介 JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。 默认情况下访问 http://ip:8080/jmx-console 就可以访问管理控制台,不需要输入用户名和密码就可以直接浏览 JBoss 的部署管理的信息,部署上传木马,存在...
JBOSS反序列化漏洞
weixin_52206305的博客
07-05 3887
Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。 经典的JBoss反序列化漏洞,JBoss在请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。访问http://ip+端口/invoker/JMXInvokerServlet 如果出现下载提示框,就证明可能存在漏洞。该漏洞出现在请求中访问http://ip+端口/如果出现该页面就表示可能存在漏洞 该漏洞出现在/invoker/rea
一次老版本jboss反序列化漏洞的利用分析
C20220511的博客
09-28 1218
所以我们直接利用ysoserial的Hibernate1利用链是不能成功的,但是仔细对Hibernate1利用链进行分析可以看出漏洞利用过程中的调用栈中并没有涉及到上述不存在的类,上述不存在的类主要用于设置一些类的属性字段,可以通过其他类来代替。这可以看出jboss中引入的是CommonsCollections2.1的版本,而一般我们平时能利用的版本都是3.x。调试反序列化利用链的代码是一个很麻烦的事情,有兴趣的小伙伴可以把我上面的代码去跟一下,其中主要用到的调用过程如下。
未授权访问漏洞笔记
m0_47599604的博客
04-05 1551
未授权访问 介绍 未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 B/S架构中 一般存在后台界面中,访问特定目录下的敏感文件,能直接跳过管理员登录,去访问后台管理内容。 C/S架构中 一般存在默认安装的一些客户端应用程序中,安装人员因缺少安全意识导致攻击者利用。 数据库...
JBoss安全之jmx-console控制台未授权访问漏洞
Keep learing, and stay fast
11-02 4309
近期工作用到了jmx-console,顺便整理下JbossJmx-console密码访问相关的知识与配置。 MBean就是一种规范的JavaBean,通过集成和实现一套标准的Bean接口,这种叫MBean,Mbean注册到MBeanServer中。之后将被MBeanServer中注册过的Adapter(比如渲染为HTML的HtmlAdapter)渲染为直观的页面将MBean的属性和方法展示给用户。 MBean -> MBeanServer ...
jmx远程访问权限设置
weixin_34378969的博客
07-22 430
https://www.cnblogs.com/langke93/p/4089662.html
JMX监控权限认证配置
inventecsh的博客
01-24 3999
JMX监控权限认证配置 JMX(Java Management Extensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。 1、非认证登录 -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxre...
JBoss7-配置管理员手册
08-09
本文是关于《JBoss7-配置管理员手册》的总结,针对该手册的内容进行详细描述,严格要求总字数为2000字。该手册讲述了JBoss7的配置和管理方面的知识。本文将按照手册的顺序,对每个章节的主要内容进行概括和总结。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值