disable jboss JMXInvokerServlet

最新推荐文章于 2024-03-03 16:30:46 发布
最新推荐文章于 2024-03-03 16:30:46 发布
阅读量3.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java jboss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mmoooodd/article/details/51481055
本文介绍如何解决JBoss中JMXInvokerServlet存在的安全问题。通过注释部署文件中的相关配置,成功阻止了潜在的非法访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jboss 默认有几个控制台,都是可能存在漏洞被黑客利用,除了web console 、jmx console。 还有JMXInvokerServlet,访问路径是ip/invoker/JMXInvokerServlet 。

一开始以为删除对应的deploy文件夹(/deploy/http-invoker.sar/)就可以,但是重启发现有一些异常堆栈,大概意思是找不到类,都是action相关的。查了一些发现这个deploy文件夹的功能包括jndi的proxy binding等,按理说没用到应该没关系。既然报错了,那就另辟蹊径,在/http-invoker.sar/invoker.war/WEB-INF/ 下有web.xml 配置文件,那直接把JMXInvokerServlet这个servlet的相关配置注释掉,重启发现这个控制台已经无法访问,这个安全问题也就修复了

蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
disable-devtool:通过f12按钮,右键单击和浏览器菜单禁用Web开发人员工具
04-27
import disableDevtool from 'disable-devtool' ; disableDevtool ( ) ; 1.2脚本属性配置 < script disable-devtool-auto src =' https://cdn.jsdelivr.net/npm/disable-devtool/disable-devtool.min.js ' > ...
JexBoss反序列化漏洞(JMXInvokerServlet)
红队是青春
05-26 975
## jexboss(JMXInvokerServlet)原理 JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码,可以利用用户传入的方法,反弹shell,拿下服务器权限。 ```python exp下载地址:https://github.com/joaomatosf/jexboss ``` ## 影响范围 JBoss Enterprise Appl.
JBoss JMXInvokerServlet 反序列化漏洞
Kevin's Blog
06-08 2694
一、漏洞介绍 1.1 漏洞简介   经典的JBoss反序列化漏洞,JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象存在反序列化漏洞。 1.2 影响版本 JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6.2.0 JBoss SOA Platform (SOA-P) 5.
JBoss JMXInvokerServlet 反序列化漏洞 CVE-2015-7501 已亲自复现
qq_42430287的博客
12-23 1897
如果payload请求成功,在响应头中返回的状态码为200,在响应体中抛出 org.jboss.invocation.InvocationException异常信息,则需要结合网络日志和流量日志进行分析。如果返回其他状态码,则攻击失败。
vulhub中JBoss JMXInvokerServlet 反序列化漏洞复现
yougexiaojiuguan的博客
03-03 309
漏洞复现的记录
深入浅出带你学习JBoss中间件常见漏洞
Web_boom的博客
02-16 992
简单来说可以介绍为一个开源的符合J2EE规范的应用服务器,作为J2EE规范的补充,Jboss中引入了AOP框架,为普通Java类提供了J2EE服务,而无需遵循EJB规范。该中间件的特点如下:它将具有革命性的JMX微内核服务作为其总线结构;它本身就是面向服务的架构(Service-Oriented Architecture,SOA);它还具有统一的类装载器,从而能够实现应用的热部署和热卸载能力。了解完JBOSS中间件的介绍,下面我们来讲关于该中间件的漏洞。
adb,支持adb disable-verity命令,解锁system分区
10-08
6. 输入`fastboot oem disable-verity`或`adb disable-verity`(取决于具体adb版本),执行解除verity检查的操作。 7. 完成后,执行`fastboot reboot`重启设备,设备会启动到系统,此时verity已被禁用。 需要注意的...
(免费)提供 adb -disable-verity 支持
最新发布
04-04
此adb工具包中包含了adb disable-verity命令,这里免费提供给大家使用,具体可看本人的文章 ”/system/bin/sh: disable-verity: not found 的解决方案“ 【使用方式】 platform-tools解压后即可使用。在cmd中通过cd...
无 adb disable-verity 命令的adb应用程序
06-13
此adb中无adb disable-verity命令,如果在cmd中输入以上命令会报 /system/bin/sh: disable-verity: not found 的错误。具体可看本人的文章 ”/system/bin/sh: disable-verity: not found 的解决方案“ 【使用方式】...
JBoss JMXInvokerServlet 反序列化漏洞复现
W小哥
05-26 1878
一、漏洞描述 影响范围 JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6.2.0 JBoss SOA Platform (SOA-P) 5.3.1 JBoss Data Grid (JDG) 6.5.0 JBoss BRMS (BRMS) 6.1.0 JBoss BPMS (BPMS) 6.1.0 JBoss Da
如何修复JBoss EJBInvokerServlet / JMXInvokerServlet 漏洞
05-17 1096
漏洞描述: EJBInvokerServlet和JMXInvokerServlet Servlet中存在一个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制请求利用此漏洞来安装任意应用程序。 https://192.168.xxx.22/invoker/EJBInvokerServlet https://192.168.xxx.22/invoker/JMXInvokerServlet ...
JBoss中间件漏洞总结
weixin_42345596的博客
08-27 1488
一.Jboss简介 Jboss是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 默认端口:8080 二.Jboss安装 下载地址:https://jbossas.jboss.org/downloads/ 1.安装jdk 这里用了两台机子,一台安装老版本J
JBoss服务器 /invoker/JMXInvokerServlet/ 接口对外开放
Mark
12-26 4190
JBoss服务器的/invoker/JMXInvokerServlet/接口对外开放,hacker通过此接口进行远程部署WebShell,可进一步对服务器进行控制。 文件上传导致任意代码执行 http://www.wooyun.org/bugs/wooyun-2010-031621
JBoss漏洞总结复现
1ance's blog
10-08 2713
目录简介JBoss发序列化漏洞(CVE-2017-12149)漏洞描述漏洞原理影响范围漏洞复现修复建议JBossMQ JMS反序列化漏洞(CVE-2017-7504)漏洞描述漏洞原理影响范围复现过程修复建议JBoss JMXInvokerServlet反序列化漏洞(CVE-2015-7501)漏洞描述漏洞原理影响范围复现过程修复建议JBoss EJBInvokerServlet 反序列化漏洞(CVE-2013-4810)漏洞描述影响范围复现过程修复建议总结 简介 Jboss是一个基于J2EE的开放源代码的
JBoss中间件漏洞汇总
热门推荐
混子
11-18 1万+
目录 一、JBoss是什么? 二、安装环境 1. Jdk 2. 下载JBoos4、6,并进行配置 三、 反序列漏洞 1. HttpInvoker 组件(CVE-2017-12149) 2. JMXInvokerServlet组件(CVE-2015-7501) 3. JBossMQ(CVE-2017-7504) 4.EJBInvokerServlet组件(CVE-2013-4810) 四、 War后门文件部署 1. admin-cosole(爆红接着传) 2. JMX-console.
JBoss JMXInvokerServlet 反序列化漏洞复现(CVE-2015-7501)
wutiangui的博客
09-11 855
JBoss在/invoker/JMXInvokerServlet请求中读取了用户传入的对象,然后我们利用Apache Commons Collections中的Gadget执行任意代码。访问:8080/invoker/JMXInvokerServlet,返回如下页面(下载文件),说明接口开放,此接口存在反序列化漏洞。执行完该命令之后,会在本地桌面生成一个序列化的文件exp.ser,并利用cat查看其内容。然后,将生成的exp复制到JavaDeserH2HC-master目录方便下一步利用。
使用adb disable-verity解锁Android系统分区
`adb disable-verity`命令是用于禁用Android设备上的dm-verity(设备映射-真实性)功能的。dm-verity是Android 5.0及以上版本引入的一个安全特性,旨在防止设备在启动时被篡改。当启用了dm-verity,系统会验证系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值