Mycat之Java JMX 未授权访问漏洞-关闭Jmx

已于 2024-01-23 14:56:49 修改
阅读量954 收藏 10
点赞数 10
分类专栏: 服务器问题 文章标签: java 开发语言 mysql
于 2024-01-23 13:39:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayne625/article/details/135769351
版权
本文讨论了Java平台的JMX管理扩展如何易受远程攻击,攻击者可通过获取敏感信息、修改运行参数、执行代码甚至发起拒绝服务攻击。文章介绍了发现此问题的途径,以及通过配置`jmxEnable`为`false`来防止远程连接的解决方案。
摘要由CSDN通过智能技术生成

问题描述

Java Management Extensions(JMX)是Java平台的一种管理和监控扩展,允许应用程序和系统在运行时进行管理和监控。JMX支持两种连接方式:本地连接和远程连接。本地连接是指在运行JMX代理的本地机器上进行连接,而远程连接则是允许通过网络从其他计算机连接到JMX代理。 默认情况下,JMX代理在Java进程中启用了远程连接功能,并且没有进行适当的安全配置。这就意味着攻击者可以通过远程连接的方式,直接访问Java应用程序的JMX代理,而无需进行任何认证授权。攻击者可以连接并执行一些敏感或危险的操作,例如: 1. 获取敏感信息:攻击者可以通过JMX代理获取目标应用程序的运行时信息,包括内存使用情况、线程堆栈信息、配置参数等。 2. 修改运行时参数:攻击者可能会修改应用程序的运行时参数,导致应用程序行为异常,甚至拒绝服务。 3. 执行代码:如果攻击者获得了足够的权限,他们可能会通过JMX代理执行任意Java代码,这可能导致系统被入侵或者远程控制。 4. 拒绝服务攻击:攻击者可以通过远程连接,大量请求目标应用程序的JMX代理,导致系统资源耗尽,造成拒绝服务情况。

原因分析:

查到对应运行端口发现来至Mycat,查看wrapper.conf 配置信息
在这里插入图片描述

解决方案:

查询资料,设置-Dcom.sun.management.jmxremote=false,尝试后无效。修改方式,查找conf中的server.xml文件,在system对中添加配置,重启生效。

<property name="jmxEnable" value="false"/>

或者

<property name="jmxEnable">false</property>
wayne_LuP
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jbaoo4.2.3-jmx-console授权访问.docx
04-10
jbaoo4.2.3-jmx-console授权访问
Windows下安装MyCatMycat-server-1.6-RELEASE-20161028204710-win
12-10
在Windows环境下安装Mycat,首先需要理解Mycat是什么。Mycat是一个开源的数据库分片中间件,主要用于解决大数据场景下的数据存储和查询问题。它基于Java编写,能够支持多种数据库系统,如MySQL、Oracle、DB2、SQL ...
java jmx agent不安全的配置漏洞
m0_59598029的博客
02-20 910
Java JMXJava Management Extensions)是一套由SunMicrosystems(现在为Oracle公司)提供的管理Java应用程序的API,使得开发人员可以通过该API,在应用程序运行过程中获取和修改应用程序在JVM上的各种信息和状态。但是如果JMXAgent的配置存在不当,则可能会导致安全问题。
Kafka 监控及使用 JMX 进行远程监控的安全注意事项
最新发布
流华追梦的专栏
04-18 1277
众所周知,Kafka 的集中式设计具有很强的耐用性和容错性。此外,由于 Kafka 是一个分布式系统,因此 Topic 在多个节点之间进行分区和复制。此外,Kafka 可以成为数据集成的极具吸引力的选择,具有有意义的性能监控和对问题的及时警报。基本上,当对 Kafka 问题进行故障排除时,应用程序管理器会向需要采取纠正措施的人收集所有性能指标和警报。
JMX Console 授权访问漏洞
懂进攻知防守
07-23 4843
Jboss的webUI界面http//ipport/jmx-console授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
Jboss历史漏洞利用 - JMX Console 授权访问漏洞
HAKUNAMATATATTA的博客
12-08 2227
Jboss的webUI界面 http://ip:port/jmx-console 授权访问(或默认密码 admin/admin ),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取 webshell
JBoss安全之jmx-console控制台授权访问漏洞
Keep learing, and stay fast
11-02 4326
近期工作用到了jmx-console,顺便整理下Jboss的Jmx-console密码访问相关的知识与配置。 MBean就是一种规范的JavaBean,通过集成和实现一套标准的Bean接口,这种叫MBean,Mbean注册到MBeanServer中。之后将被MBeanServer中注册过的Adapter(比如渲染为HTML的HtmlAdapter)渲染为直观的页面将MBean的属性和方法展示给用户。 MBean -> MBeanServer ...
mycat2(mycat2-1.21-release-jar-with-dependencies.jar)
06-10
《深入解析mycat2:基于mycat2-1.21-release-jar-with-dependencies.jar的分布式数据库中间件》 mycat2是一款开源的、高性能的、基于Java开发的分布式数据库中间件,它旨在解决大数据分布式存储和处理的问题。mycat...
基于JavaMycat-Server数据库集群设计源码
04-11
本源码提供了一个基于JavaMycat-Server数据库集群设计。项目包含630个文件,其中包括555个Java源文件、15个XML文件、14个HTML文件、8个属性文件、8个BAT批处理文件、8个Shell脚本文件、5个PNG图片、2个Markdown文...
mycat2 install-template(mycat2-install-template-1.20.zip)
06-10
MyCat是开源的、基于Java实现的数据库中间件,它主要用作数据库的分片工具,常用于大数据处理场景,以提升数据库的读写性能和可扩展性。 【描述】虽然描述信息为空,但我们可以推断这个压缩包可能包含了MyCat 2的...
mycat2 install-template(mycat2-install-template-1.21.zip)
06-10
【标题】"mycat2 install-template(mycat2-install-template-1.21.zip)" 指的是MyCat 2的一个安装模板文件,版本为1.21,通常包含了安装MyCat 2所需的所有配置文件和脚本,用于简化部署过程。 【描述】虽然描述...
jboss--JMX Console授权访问
hovcfuti的博客
10-13 599
然后找到jboss.deployment(jboss 自带的部署功能)中的flavor=URL,type=DeploymentScanner点进去(通过 url 的方式远程部署)此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能。若需登录,可以尝试爆破弱口令登录。返回JMX Console里面,刷新找到jboss.web.deployment,如果出现上传的war,则部署成功。
Jboss授权访问
qq_44880255的博客
08-11 1418
1、jmx-console授权访问 漏洞原因 JBoss默认访问jmx-console页面不需要输入密码,可以进入配置war包进行危险操作。或默认用户名密码为admin/admin。 漏洞复现 这里使用的环境是kali中的vulhub和docker。 进入vulhub/jboss/CVE-2017-12149目录,执行命令docker-compose up -d开启环境。 访问http://your-ip:8080/。(这里我的IP是172.17.0.1) 构造payload部署war包。 http
【实战】Jboss授权访问JMX-Console)Getshell
cj_Hydra's Blog
11-05 2508
都是重复造轮子,没啥技术含量,只能说以后遇到了知道怎么操作就行。 GO: 访问地址:http://ip/JMX-Console 找到jboss.deployment 进入页面后找到void addURL() 此时部署我们远程的war木马,部署好了以后点击Invoke http:vpsIP地址/soft/cus.war 随后来到URLList中查看Value值是否已经部署好,并且为我们的远程war木马地址 最后点击Apply Changes 后耐心等待一会儿,然后回到JMX-Console目录中 找到
授权访问漏洞1
MingShenfree的博客
10-30 714
授权访问漏洞产生的原因 授权访问漏洞是站由于网站管理员对站点的资源所拥有的权限或站点配置文件没有进行合理的配置,导致没有进行授权的用户可以访问到高级资源。 常见的授权访问漏洞 (1)Redis授权访问漏洞简述:Redis是一种缓存数据库应用,它在部分场合可以对关系型数据库起到很好的补充作用。Redis默认会绑定在0.0.0.0:6379,这就会将Redis服务暴露到公网环境当中,在没有开启认证的情况下会导致任意可以访问到...
授权访问漏洞汇总
weixin_46137328的博客
09-23 7478
本文共11695个字,可以先收藏后看。漏洞概览: Elasticsearch授权访问漏洞 Hadoop授权访问漏洞 Jenkins授权访问 MongoDB授权访问 Zoo...
jmx动态开启&关闭
qq_40734572的博客
12-16 2757
jmx动态开启&关闭 开启 jcmd ${pid} ManagementAgent.start jmxremote.port=9999 jmxremote.ssl=false jmxremote.authenticate=false 关闭 jcmd ${pid} ManagementAgent.stop 测试 可以通过jvisualvm.exe去连接查看jmx监控信息

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值