jboss漏洞利用

最新推荐文章于 2025-07-10 23:30:13 发布
原创 最新推荐文章于 2025-07-10 23:30:13 发布 · 8.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何利用JBOSS应用服务器的漏洞进行攻击。首先,提到了使用msf、jexboss、zoomeye和fofa等工具来搜索和定位目标机。接着,详细阐述了下载并使用jexboss进行攻击的步骤,包括安装、执行脚本获取管理员权限。文章还讨论了端口转发和利用vps上的msf进行监控的方法,最终通过web_delivery模块在目标机上建立meterpreter会话,实现远程控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JBOSS

JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。

使用工具

msf,jexboss,zoomeye,fofa

下载jexboss

在github中搜索jexboss下载漏洞利用代码
这里写图片描述
还可以在kali中直接下载

git clone https://github.com/joaomatosf/jexboss.git #获取jexboss工具
搜索目标机

利用zoomeye搜索符合要求的ip
这里写图片描述
还可以通过fofa搜索
这里写图片描述
注意最好是用8080端口,国家是韩国或者日本,你懂的

找这个有用的网站,有一个小技巧,访问了很多网站,发现出现这个页面时,很可能出现漏洞
这里写图片描述

利用jexbos
最低0.47元/天 解锁文章

200万优质内容无限畅学
jboss --- 漏洞复现ysoserial工具
代码审计
04-27 1400
这里写目录标题 ssh 代理转发 访问物理机中的3388端口 就相当于访问虚拟机bihuo java中的 3389端口
Jboss漏洞利用工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
网安系列【16】之Weblogic和jboss漏洞
最新发布
缘友一世的博客
07-10 986
网安系列【16】之Weblogic和jboss漏洞
随记(七):Jboss漏洞检测利用工具
XXR_Beta的博客
12-06 5341
Jboss漏洞检测利用工具0x01 安装方法0x02 使用方法 Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。 工具下载:https://github.com/joaomatosf/jexboss 此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。 0x01 安装方法 ## 克隆项目至本地
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用
Struts2及jboss漏洞利用工具
08-06
Struts2及jboss漏洞利用工具。非常好用本人几经尝试过。 Struts2的漏洞实用工具 ,以及jboss的jar cmd运行代码,良心出品
Jboss漏洞利用总结1
08-03
JBoss 漏洞利用总结】 JBoss 是一款基于 J2EE 的开源应用服务器,遵循 LGPL 许可,允许在商业应用中免费使用。它主要作为 EJB 容器和服务器,支持 EJB 1.1、2.0 和 3.0 规范。虽然 JBoss 核心服务不包含 Web 容器...
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Jboss漏洞利用
u011215939的博客
01-23 8555
所需工具:kallinux,jexboss,ZoomEye; JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。为了更好的利用这个漏洞,我直接使用一个自动化获取shell的工具:jexboss。 1
jexboss工具 -- JBOSS未授权访问漏洞利用
qq_50854662的博客
10-30 539
其实所有的节日,都不是为了礼物和红包而生,而是提醒我们不要忘记爱与被爱,生活需要仪式感,而你需要的是在乎和关爱。。。 ----  网易云热评 小受:Ubuntu20 小攻:Kali2020   一、搭建该漏洞环境 查看上一篇文章: Ubuntu20安装docker并部署相关漏洞环境   二、访问http://192.168.77.136:8080/进...
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具
02-12
weblogic反序列化和jboss反序列化测试payload,仅供运维人员测试漏洞,请勿非法使用,否则后果自负!
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
JBOSS漏洞精简利用
SoulCat
02-25 999
JBOSS漏洞大杂烩 所谓,一见钟情不过见色起意,日久生情不过权衡利弊。人生来就是孤单的。 文章目录JBOSS漏洞大杂烩反序列化:未授权/弱口令/getshell:绕waf: 反序列化: JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501) 原理: 此漏洞主要是由于JBoss中invoker/JMXInvokerServlet路径对外开放,并且JB...
Jboss漏洞
lhdbk______的博客
08-06 631
常见中间件漏洞Jboss
中间件漏洞 -- JBoss
weixin_44769042的博客
11-17 4649
中间件漏洞记录--5 jBoss是一个基于J2EE的开发源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。默认端口:8080,9990 目录 一、JBoss JMXInvokerServlet 反序列化漏洞 1、环境搭建:docker + vulh...
Jboss漏洞利用工具的发现与安全分析
### Jboss漏洞利用工具知识点 #### 概述 Jboss是一个开源的应用服务器,广泛用于企业级Java应用的部署和管理。由于其广泛应用和配置复杂性,Jboss常成为黑客攻击的目标,尤其是一些已知的未修复漏洞。本文将详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值