Jboss简介
一个基于J2EE的开放源代码的应用服务器
JBoss 是一个管理 EJB 的容器和服务器,但 JBoss 核心服务不包括支持 servlet/JSP 的WEB容器,一般与Tomcat或Jetty绑定使用。Jboss是Java EE 应用服务器(就像Apache是web服务器一样),专门用来运行Java EE程序的。
Jboss历史漏洞
1. 访问控制不严导致的漏洞
JMX Console未授权访问Getshell
Administration Console 弱口令 Getshell
JMX Console HtmlAdaptor Getshell (CVE-2007-1036)
JMX控制台安全验证绕过漏洞 (CVE-2010-0738)
2. 反序列化漏洞
JBoss EJBInvokerServlet 反序列化漏洞 (CVE-2013-4810)
JBoss JMXInvokerServlet 反序列化漏洞 (CVE-2015-7501)
JBoss 4.x JBossMQ JMS 反序列化漏洞 (CVE-2017-7504)
JBosS AS 6.X 反序列化漏洞 (CVE-2017-12149)
操作步骤就不写了,自己实操 记得牢