JBOSS
最后更新于
最后更新于
在评估Web应用程序的安全性时,某些路径如_/web-console/ServerInfo.jsp_和_/status?full=true_对于揭示服务器详细信息至关重要。对于JBoss服务器,诸如_/admin-console_、/jmx-console、/management_和/web-console_等路径可能至关重要。这些路径可能允许访问具有默认凭据(通常设置为admin/admin)的管理servlets。此访问便于通过特定servlet与MBeans进行交互:
对于JBoss版本6和7,使用**/web-console/Invoker**。
在JBoss 5及更早版本中,可用**/invoker/JMXInvokerServlet和/invoker/EJBInvokerServlet**。
Google Dorking可以帮助识别具有查询条件如:inurl:status EJInvokerServlet的易受攻击服务器。
漏洞赏金提示:注册Intigriti,这是一家由黑客创建的高级漏洞赏金平台!立即加入我们,访问,开始赚取高达**$100,000**的赏金!
像clusterd这样的工具,可在获取,以及Metasploit模块auxiliary/scanner/http/jboss_vulnscan可用于枚举和潜在利用JBOSS服务中的漏洞。
要利用漏洞,诸如之类的资源提供了有价值的工具。
漏洞赏金提示:注册Intigriti,这是一家由黑客创建的高级漏洞赏金平台!立即加入我们,访问,开始赚取高达**$100,000**的赏金!
如果您想在HackTricks中看到您的公司广告或下载PDF格式的HackTricks,请查看!
获取
探索,我们的独家收藏品
加入 💬 或 或在Twitter上关注我们 🐦 。
通过向和 github仓库提交PR来分享您的黑客技巧。
