目录
前言
昨天搞了Vulhub靶场里的jboss三个反序列化漏洞,今天总结一下jboss漏洞。该总结来源于Vulhub靶场、wooyun90余个漏洞和exploit-db。
获取服务器所采用的中间件信息
HTTP 中的 X-Powered-By
JBOSS默认配置后台漏洞
漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压。
目录
昨天搞了Vulhub靶场里的jboss三个反序列化漏洞,今天总结一下jboss漏洞。该总结来源于Vulhub靶场、wooyun90余个漏洞和exploit-db。
HTTP 中的 X-Powered-By
漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压。