JBoss未授权访问漏洞

2020/08/14 14:05 · 未授权访问 ·  原创文章 · 97阅读 · 0评论

服务简介

JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。JBoss默认在8080端口监听。

产生原因

未设置访问密码。

漏洞利用

1、进入控制页面

2、进入deployment部署页面

3、远程布置war包

填入远程布置的恶意war包,点击Invoke

4、访问shell目录,部署成功

5、执行shell

修复方法

1)设置jboss控制台登录密码,参考:http://www.360doc.com/content/19/0528/18/15874231_838797262.shtml

您可能感兴趣的文章

本文地址:https://www.ouyangxiaoze.com/2020/08/626.html
版权声明:本文为原创文章,版权归 欧阳小泽 所有,欢迎分享本文,转载请保留出处!

文件下载

boke112导航_独立博客导航平台

上一篇:
下一篇:

 发表评论


表情