复现JBOSS远程部署war包(过程,步骤,说明)

最新推荐文章于 2023-07-24 14:47:55 发布
原创 最新推荐文章于 2023-07-24 14:47:55 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jboss #安全 #windows server #中间件

本文介绍如何通过修改JBoss的server.xml配置文件实现任意IP访问,并利用此配置上传war包进行攻击演示。

实验环境:
一台配置好jboss环境的windows server 2003靶机
一台装有phpstudy的攻击主机
实验说明:
两台主机可以互相ping通
实验步骤:
首先打开靶机中的jboss
在这里插入图片描述
然后依次进入C:\jboss-4.2.3.GA\server\default\deploy\jboss-web.deployer将其中的server.xml配置文件中的访问IP地址改为任意IP地址(然后重启一下我们的jboss,这里我们的靶机就配置好了)
在这里插入图片描述

然后我们使用攻击主机,首先打开我们主机的phpstudy,将apache服务打开
在这里插入图片描述
将war包传入到我们的www目录下,然后进入靶机的jboss主页
在这里插入图片描述
然后点击
在这里插入图片描述
进入到控制页面后我们点击
在这里插入图片描述
找到我们的add URL
在这里插入图片描述
将我们的www目录下的war包传入靶机
在这里插入图片描述
传入成功
在这里插入图片描述

中间件安全系列(五):JBoss高危漏洞深度剖析与实战复现指南
tengyuehou的博客
04-09 1484
CVE-2017-7504是JBoss应用服务器中的一个远程代码执行漏洞,允许攻击者通过JMX Invoker Servlet在未授权的情况下部署恶意WAR,从而获取服务器控制权。
Jboss 靶场攻略
2301_82061181的博客
09-22 892
步骤一:环境搭建docker ps步骤二:POC,访问地址返回如下,说明接⼝开放,此接⼝存在反序列化漏洞步骤三:下载 ysoserial ⼯具进⾏漏洞利⽤将反弹shell进⾏base64编码步骤四:服务器设置监听得端⼝步骤五:执⾏命令反弹成功。
JBOSS安装
jdk2008
02-22 260
声名:转载收藏 1、 安装 1.1、软件安装 首先要安装JDK(仅仅安装JRE是不行的,因为JSP页面需要编译),最新的正式版是JDK1.4.2。然后把JBoss的压缩解压到一个目录下,目录名一般是"Jboss_版本号",JBoss目前的最新正式版是JBoss4.0.0(2004年9月20日发布)。下面的配置都是针对JBoss3.2.5。 1.2、环境变量的设置 需要的环境变量有J...
一台JBoss服务器同时部署多个项目war
张姐姐聊编程
05-31 7184
在公司做的项目是使用Jboss-eap服务器进行部署后端项目所打出来的war,在没有研究这个技术点之前,是一台服务器部署一个项目的war.所以如果是多个项目的话,那么就需要申请多台服务器,非常的浪费资源,所以就要想办法解决啦。原来一直听说过一台jboss服务器可以部署多个war,但是没有尝试过,这次就必须要去做啦。一起来了解一下最后的实现结果吧。
Tomcat 或 Jboss 部署WAR
热门推荐
oyzl68的专栏
11-03 2万+
从Tomcat 7开始,WEB-INF目录下面不再生成web.xml!也不再需要它,所以不需要像网上别的文章说的那样手动建立web.xml文件!! 确定一点:Tomcat根目录为webapps 事实上,只需要使用Eclipse的Export功能导出项目为WAR文件,然后把WAR文件拷贝到Tomcat的webapps  (X:\ {apache-tomcat-目录} \webapps\ )下
jboss安装并部署war
busijinqudeshen的博客
07-24 2658
进入jboss下standalone/configuration下打开standalone.xml文件,找到如下两个ip修改为0.0.0.0。正常进入部署系统首页,如需要去掉访问名参考Q&A。原文链接:https://blog.youkuaiyun.com/qq_35349982/article/details/127091523。2.访问:http://127.0.0.1:9990,输入刚才创建的用户/密码即可进入后台管理页面。2.启动成功的日志如下,打开浏览器访问 http://localhost:8080/
JBoss安装并部署war
飞奔的屎壳郎
09-28 9065
进入jboss下standalone/configuration下打开standalone.xml文件,找到如下两个ip修改为0.0.0.0。1、在jboss的\standalone\configuration目录下有个standalone.xml文件,里边配置相关的端口等;2. 本文章以jboss-eap-7.2版本为例,jboos版本在Window与Linux下通用。jboos 7版本的目录结构,每个大版本目录结构会有所差异。解压Jboss以后在Jboss的bin目录下找到。
利用 vulhub 的 “jboss/CVE-2017-12149” 靶场,复现 JBoss 反序列化远程代码执行漏洞。通过漏洞上传含恶意代码的 WAR 部署,访问部署后的页面执行系统命令,截图记录 WAR 上传、部署过程及命令执行结果
最新发布
09-20
WAR 上传、部署过程及命令执行结果的关键步骤进行截图记录。例如,在上传 WAR 时,可以截取终端中 `curl` 命令的执行结果;在访问部署后的页面时,截取浏览器中的页面内容;在执行系统命令后,截取命令执行...
JBoss4.0入门实例参考PDF文档
此外,还可能介绍如何使用 Ant 或 Maven 脚本自动化部署过程,如何通过 JBoss 提供的 deployer 工具热部署应用(无需重启服务器),以及如何利用 SAR(Service Archive)扩展服务器功能。 最后,《Getting+...
web中间件漏洞复现
weixin_43999372的博客
03-26 1449
一.Apache Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一 1.解析漏洞 1. 漏洞原理 Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别,则继续向左识别,直到发现后缀是php,交给php处理这个文件 2. 漏洞...
JBOSS 部署WAR
rockstar541的专栏
04-23 2470
1.修改JBOSS中 standalone-ha.xml配置文件,将 <subsystem xmlns="urn:jboss:domain:pojo:1.0" /> 注释掉。2.WEB 工程中web.xml配置文件增加 webAppRootKey节点配置:<context-param><param-name>webAppRootKey</param-nam...
复现JBOSS远程部署war方法二(过程步骤说明
XZ_______的博客
12-21 748
首先打开靶机中的jboss 然后依次进入C:\jboss-4.2.3.GA\server\default\deploy\jboss-web.deployer将其中的server.xml配置文件中的访问IP地址改为任意IP地址(然后重启一下我们的jboss,这里我们的靶机就配置好了) 然后我们使用攻击主机,首先打开我们主机的phpstudy,将apache服务打开 将war传入到我们的www目录下 再将我们设置好的exp下载下来 直接window+R打开运行,输入cmd进入命令行界面 输入: jav
JBoss7中部署war
rickyhome的专栏
06-26 9196
直接拖放方式 在JBoss7.1中部署war很简单,直接将war的压缩文件放到$JBOSS_HOME\standalone\deployments目录下就可以了。   其它方式 呵,方式可不是只有这种哟,直接拖拉只是其中一种方式,网上有人总结了部署war的五种方式,并拍了一个视频,叫做“5 ways to deployyour application to JBoss AS 7”,链接如下
Jboss远程命令执行部署war以及如何开启口令防御。
qfslyy的博客
12-21 472
接上一个文章,另一种部署war方式:远程命令执行部署war,以及如何开启口令,提高安全远程命令执行部署war: 待定 1:jbos exp 防御,主要改三个地方 1:定义用户密码的: 2:改这个文件 取消注释 3: 最下面取消security的注释。: 重启服务之后,再次访问便需要口令了: ...
JBOSS远程部署war漏洞复现
小小猪的博客
11-22 1024
JBOSS远程部署war漏洞复现 框架介绍: 是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用 漏洞复现: 第一种: 访问页面之后,点击。 进入到控制页面后我们点击 找到我们的add URL 将我们的www目录下的...
JBOSS各版本远程部署方法
执着之道
10-24 265
为了方便快速调试代码,大家都会使用远程部署,郁闷的是JBOSS各个版本远程部署的方式还不一样。所以在这里记录下JBOSS各个版本远程部署的方法,免得太多的JAVA同学花时间研究。 [b]JBOSS5.1的远程部署配置[/b]。在server\default\conf\bootstrap目录下profile.xml文件里,加上需要远程部署的路径,如E:/java/Umpspace/conf...
IDEA新建Java Web项目并发布warJboss
chila0710的博客
09-29 1171
(一)开发环境 JDK:1.8 IDEA:IntelliJ IDEA 2017.2.3 Jbossjboss-4.2.3.GA (二)新建工程 新建完成后的工程目录结构如下: (三)手动加入需要的jar 1、在...
JBoss5.1.0部署项目
csdn122325735的专栏
10-20 917
JBoss5.1.0部署项目
JBoss配置详解
solo.du
08-19 1022
2.0.1 JBOSS 的一点说明 $JBOSS-HOME/server/下有3个目录,all/default/minimal,它们是表示3种配置,全部的配置、默认配置、最小配置,我们在启动JBOSS服务时,可以指定 run –c all 表示是启动all配置(将会加载所有服务);run 表示是以默认配置启动; run –c mimimal 表示是启动mimimal配置。这三者所加载的服务数量...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱学习的安全小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值