JexBoss 项目常见问题解决方案

最新推荐文章于 2025-01-01 23:48:01 发布
最新推荐文章于 2025-01-01 23:48:01 发布
阅读量471 收藏 9
点赞数 9
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00213/article/details/143603474

JexBoss 项目常见问题解决方案

jexboss JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify and EXploitation Tool jexboss 项目地址: https://gitcode.com/gh_mirrors/je/jexboss

1. 项目基础介绍和主要编程语言

JexBoss 是一个用于测试和利用 JBoss 应用服务器及其他 Java 平台、框架和应用程序中存在的漏洞的工具。该项目的主要编程语言是 Python。JexBoss 旨在帮助安全研究人员和开发人员识别和利用 Java 反序列化漏洞,特别是针对 JBoss 应用服务器的漏洞。

2. 新手在使用 JexBoss 项目时需要特别注意的 3 个问题及详细解决步骤

问题 1:Python 版本兼容性问题

问题描述:JexBoss 需要 Python 2.7 或更高版本。如果系统中安装了多个 Python 版本,可能会导致兼容性问题。

解决步骤

  1. 检查 Python 版本:在终端或命令提示符中运行 python --versionpython2 --version 来确认当前使用的 Python 版本。
  2. 安装 Python 2.7:如果系统中没有安装 Python 2.7,可以通过包管理器安装。例如,在 CentOS 上可以使用以下命令: 
    yum -y install centos-release-scl
yum -y install python27
scl enable python27 bash
  3. 设置环境变量:确保在运行 JexBoss 时使用的是 Python 2.7。可以通过设置环境变量来实现: 
    export PATH=/usr/bin/python2.7:$PATH

问题 2:依赖库安装失败

问题描述:在安装 JexBoss 所需的依赖库时,可能会遇到网络问题或权限问题导致安装失败。

解决步骤

  1. 检查网络连接:确保网络连接正常,能够访问 Python 包索引(PyPI)。
  2. 使用代理:如果网络需要代理,可以在安装依赖库时指定代理: 
    pip install --proxy http://your-proxy:port -r requires.txt
  3. 使用管理员权限:在 Windows 系统中,使用管理员权限运行命令提示符,或在 Linux 系统中使用 sudo 命令: 
    sudo pip install -r requires.txt

问题 3:目标主机无法访问

问题描述:在运行 JexBoss 时,可能会遇到目标主机无法访问的问题,导致无法进行漏洞测试。

解决步骤

  1. 检查目标主机地址:确保输入的目标主机地址和端口号正确无误。
  2. 检查网络配置:确保本地网络配置正确,能够访问目标主机。可以通过 ping 命令或 telnet 命令测试连接: 
    ping target_host
telnet target_host 8080
  3. 防火墙设置:检查目标主机和本地主机的防火墙设置,确保允许相关端口的访问。

通过以上步骤,新手用户可以更好地解决在使用 JexBoss 项目时可能遇到的问题,确保项目的顺利运行。

jexboss JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify and EXploitation Tool jexboss 项目地址: https://gitcode.com/gh_mirrors/je/jexboss

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

jexboss
qq_44881113的博客
07-12 466
Installation on Windows 1 安装python2 2 安装 git for windows 3 在jexboss文件夹下运行git for windows 设置python2的环境路径 PATH=$PATH:C:\Python27\ PATH=$PATH:C:\Python27\Scripts 如果还没下载jexboss git clone https://github.com/joaomatosf/jexboss.git cd jexboss
常见框架漏洞 下(Weblogic、Jboss)
2301_76631050的博客
08-08 1466
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,默认端口:7001 WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。
JexBoss反序列化漏洞(JMXInvokerServlet)
红队是青春
05-26 973
## jexboss(JMXInvokerServlet)原理 JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码,可以利用用户传入的方法,反弹shell,拿下服务器权限。 ```python exp下载地址:https://github.com/joaomatosf/jexboss ``` ## 影响范围 JBoss Enterprise Appl.
JexBoss:Java反序列化漏洞检测与利用工具
gitblog_00297的博客
10-10 876
JexBoss:Java反序列化漏洞检测与利用工具 jexboss JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify and EXploitation Tool ...
jexboss工具 -- JBOSS未授权访问漏洞利用
qq_50854662的博客
10-30 531
其实所有的节日,都不是为了礼物和红包而生,而是提醒我们不要忘记爱与被爱,生活需要仪式感,而你需要的是在乎和关爱。。。 ----  网易云热评 小受:Ubuntu20 小攻:Kali2020   一、搭建该漏洞环境 查看上一篇文章: Ubuntu20安装docker并部署相关漏洞环境   二、访问http://192.168.77.136:8080/进...
JBOSS jexboss自动化渗透
qq_45300786的博客
08-30 656
jexboss自动化渗透 jexboss是针对jboss渗透自动化估计武器,是用于测试和利用JBoss Application Server和其他java平台、框架、应用程序等中的漏洞的工具。 下载地址:https://github.com/joaomatosf/jexboss 这里演示的环境是我上面搭建的4.x和6.x的环境。 输入命令 python jexboss.py -host http://192.168.100.34:8080 可以看到很红色“vulnerable”,就是存在漏洞 继续输入yes
常见中间件漏洞(三、Jboss合集)
2301_76631050的博客
08-06 1292
JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域JBoss是发展最为迅速应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发这使得JBoss广为流行。
常见的中间件漏洞
2302_80256359的博客
01-01 1053
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
批量勒索挖矿常用漏洞利用工具jexboss的简单分析
si1ence的博客
08-21 1874
0x0 简介 jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console、jmx-console、JMXInvokerServlet、struc2、Jenkins等漏洞并且可以直接获得一个shell,杀人越货勒索挖矿必备神器。 起初,攻击者会通过JexBoss工具对JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同...
随记(七):Jboss漏洞检测利用工具
XXR_Beta的博客
12-06 5233
Jboss漏洞检测利用工具0x01 安装方法0x02 使用方法 Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。 工具下载:https://github.com/joaomatosf/jexboss 此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。 0x01 安装方法 ## 克隆项目至本地
jboss_CVE_2017_12149.py
01-04
jboss_CVE_2017_12149漏洞poc
Jexboss的利用
qq_41409656的博客
01-23 3032
下载链接:https://github.com/joaomatosf/jexboss jexboss是检测jboss漏洞的一个工具 运行环境kali,下图为jeboss的利用说明 通过访问网络空间搜索引擎, 就能发现一些然后慢慢去测试 https://fofa.so/ https://www.zoomeye.org/ 通过 -u 参数去寻找,这寻找的
JBOSS未授权漏洞总结
m0_64481831的博客
04-03 2055
JBOSS是一个基于J2EE的开放源代码应用服务器,也是一个管理EJB的容器和服务器,默认使用8080端口监听。JBOSS未授权访问漏洞介绍漏洞原理JBOSS未授权漏洞在默认情况下无需账号密码就可以直接访问后台管理控制台页面(),导致攻击者可以获取网站信息、上传webshell,获取服务器权限等。
我是如何渗透电信网络的
jennycisp的博客
01-17 849
因此,对于RTE而言,有效的信息侦察包括:DNS枚举,ASN和BGP查找,来自多个搜索引擎的一些被动侦察,检查GitHub、BitBucket、GitLab等源代码库(上面很多意外之喜),如果找不到RCE,则对员工进行OSINT信息搜集,以实施鱼叉式网络钓鱼攻击。CDR记录还包括IMSI和IMEI号码,呼叫开始/结束日期和时间戳,呼叫持续时间,呼叫类型(呼入或呼出),服务类型(电信服务公司),Cell ID-A(来自此处的Cell Tower)呼叫始发和Location-A(呼叫者的位置)
一次Rootkit实施失败记(图解)
bcbobo21cn的专栏
04-12 3804
一 首先参阅资料搞一次Rootkit实施 参阅 http://security.ctocio.com.cn/tips/331/8238331.shtml 在命令提示符(cmd.exe)下输入如下图命令; 建立了一个用户,密码为123fff的普通用户。为了达到初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过net user是看不到该用户的,当然在“本地用户和组”及
记一次曲折的渗透测试经历
热门推荐
乐枕的家
04-21 1万+
昨天把jexboss脚本整合到我的多线程框架里,扫了一遍全国jboss,发现一千多个shell.工具地址在:https://github.com/Xyntax/POC-T随意拿了一个看似大厂商的,作本次入侵测试发现传送门通过jexboss拿到shell,看到是centos的机器(IP已打码).看起来是root,确认一下.不稳定的传送门shell的问题接下来执行命令的时候,发现这个jexboss自带的
利用JBOSS漏洞抓肉鸡
404
01-23 7264
JBOSS是中间件,解析JSP的文件,由于中间件爆发漏洞一般很少人打补丁,这次我们利用jboss漏洞抓肉鸡。 利用工具:jexboss-master 这个工具是Python写的在我的资源里面已经分享可以下载,也可以自己在github上面寻找 网络搜索引擎:zoomeye(钟馗之眼) 在抓肉鸡之前我们要明白目标,那就是使用jboss中间件的服务器 进入zoomeye搜索关键词jboss(这
jboss漏洞利用
mirror97black的博客
01-24 8365
JBOSS JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。 使用工具 msf,jexboss,zoomeye,fofa 下载jexboss 在github中搜索jexboss下载漏洞利用代码
JBOSS未授权访问漏洞利用
Fuzz
02-25 707
1. 环境搭建 https://www.cnblogs.com/chengNo1/p/14297387.html 搭建好vulhub平台后 进入对应漏洞目录 cd vulhub/jboss/CVE-2017-7504/ 开启环境 docker-compose up -d 2. 访问 http://172.16.12.15:8080/ 进入后台。点击JMX Console 3. 漏洞利用工具 1、下载地址:https://github.com/joaomatosf/jexboss 2、cd jexboss
对于渗透中常见的中间件、框架或组件,你会用什么工具去对他进行漏洞扫描?
最新发布
03-08
<think>嗯,用户想要找针对常见中间件、框架或组件进行漏洞扫描的安全工具。首先,我需要回忆一下常见的渗透测试工具,尤其是那些专门用于中间件和组件的漏洞检测的。根据之前提供的引用内容,有几个工具被提到过,比如X-Scan、jexboss,还有一些特定的Python脚本。 首先,X-Sscan是国内的免费工具,支持中文,适合扫描多种漏洞,并且能评估风险等级,这可能是一个不错的选择。用户可能需要一个用户友好的界面,所以X-Scan的图形界面应该很方便。然后,jexboss专门针对Java中间件,比如JBoss、WebLogic这些,用户提到的中间件漏洞可能涉及这些,所以推荐jexboss是合适的。 另外,引用里提到的moon.py和CNVD-2020-10487检测脚本,这些是针对特定漏洞的,比如Tomcat的CVE-2017-12615或者文件包含漏洞。用户可能需要具体的例子,所以给出这些工具和脚本的信息会有帮助。同时,Nmap虽然不是专门的漏洞扫描工具,但它的脚本库可以扩展功能,检测常见漏洞,这也是一个补充建议。 用户可能还需要知道这些工具的特点,比如是否免费、是否需要安装、支持的语言等。比如X-Scan是绿色软件,不需要安装,这对用户来说可能是个加分项。另外,自动化报告生成和漏洞描述也是用户关心的点,所以需要提到这些功能。 还要考虑用户的实际操作环境,比如测试环境是Win10和Python3,所以推荐的工具需要兼容这些环境,比如提到的moon.py需要安装相关Python库。此外,引用中的测试建议,比如使用微软的terminal来运行jexboss,这样的细节也能帮助用户避免问题。 可能用户在进行渗透测试或者安全评估,需要快速检测已知的高危漏洞,所以工具的效率和使用便捷性很重要。另外,用户可能不太清楚这些工具的具体应用场景,比如X-Scan适用于综合扫描,而jexboss专注于Java中间件,需要分点说明清楚。 还要注意是否需要给出工具的使用示例,比如代码片段或者命令,这样用户能更直观地了解如何操作。例如,引用中的moon.py和Tomcat检测脚本的使用方法,可以增强回答的实用性。 最后,生成的相关问题需要围绕工具的使用、选择、原理和实际案例,帮助用户进一步深入学习。比如如何选择工具、工具的原理、实际漏洞检测案例等,这些都是用户可能后续会问的问题,提前准备可以提升帮助的全面性。</think>针对常见中间件、框架和组件的漏洞扫描需求,以下是经过实践验证的安全测试工具及方法: ### 一、综合型扫描工具 1. **X-Scan** - 支持对WebLogic、Tomcat等中间件的弱口令、配置缺陷检测 - 自动生成中英文漏洞报告并关联修复建议[^2] - 特点:免费绿色软件,支持图形界面与命令行模式 2. **Nmap脚本引擎** - 通过`http-vuln-*`系列脚本检测Web中间件漏洞 - 示例命令: ```bash nmap -p 80,443 --script http-vuln-cve2017-5638 <target> ``` ### 二、专项检测工具 1. **Java中间件检测** - **jexboss**:专用于检测JBoss、WebLogic反序列化漏洞 ```bash python jexboss.py -u http://target:8080 ``` - 支持CVE-2017-7504、CVE-2017-12149等漏洞检测[^3] 2. **Tomcat专项检测** - **CNVD-2020-10487检测脚本**: ```python python tomcat_ajp_lfi.py -p 8009 <target_ip> ``` - 可检测CVE-2020-1938(Ghostcat)文件包含/读取漏洞[^4] ### 三、自动化检测框架 1. **moon.py集成工具** - 支持Struts2、Jenkins、Servlet反序列化等漏洞的快速检测 - 集成多模块检测: ```bash moon.py -u http://target:8080 ``` - 建议配合Microsoft Terminal使用 2. **Metasploit模块** - 包含针对WebLogic、Jenkins等组件的预置攻击模块 - 使用示例: ```msf use auxiliary/scanner/http/tomcat_mgr_login ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田桥桑Industrious

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值