Jboss漏洞利用

2019/05/20 11:16 · 笔记 ·  原创文章 · 337阅读 · 0评论

所需工具:kallinux,jexboss,ZoomEye;
JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。为了更好的利用这个漏洞,我直接使用一个自动化获取shell的工具:jexboss。
1、获取工具:打开kalilinux,在kali终端中输入以下命令:

git clone https://github.com/joaomatosf/jexboss.git #获取jexboss工具
cd jexboss #切换到jexboss文件夹中
python jexboss.py

依次执行命令

运行 python jexboss.py

检验是否能够执行,可以执行就是如下:

2、使用ZoomEye网络空间搜索引擎,搜索特定的网站,注意:在Jboss的整个漏洞中一个显著的特征就是“8080/jmx-console/”,当然整个也还有其它特征,用这个特征主要便于搜索,所以我构造搜索语法:

"/jmx-console/" +app:“jboss” port:"8080" +country:"IN"
1
搜索印度这个国家中含有的jboss的网站;找到一个IP

3、访问这个IP,这是一个管理后台

这里写图片描述

访问这个IP的8080端口,jboss中间件特有的网页;

4、将这个IP:8080复制到kalilinux中使用jexboss工具进行检测;

执行,工具会依次检测一下项目,有漏洞就会显示红色的:VULNERABLE(易受攻击的),工具就会根据找到容易受到攻击的点,进行利用

然后选择yes,开始创建连接;

Jboss漏洞利用 第4张
返回信息显示连接成功了;

现在获取了shell,开始执行shell命令了;返回的信息显示,这是一个linux操作系统;

5、执行几条命令看看;
root权限

ifconfig内网IP

 

您可能感兴趣的文章

本文地址:https://www.ouyangxiaoze.com/2019/05/92.html
版权声明:本文为原创文章,版权归 欧阳小泽 所有,欢迎分享本文,转载请保留出处!

文件下载

boke112导航_独立博客导航平台

上一篇:
下一篇:

 发表评论


表情