jboss远程执行代码漏洞

听听，2010最雷人歌曲

注册域名千万别去易名中国

9月1

大 | 中 | 小

23:06Heck

黑客攻防 From: 本站原创

在JBOSS默认配置下会有一个后台漏洞 stupid

，漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压访问http://www.safe3.com.cn:8080/jmx-console/ 后台，如下图

下拉找到如下图所示

点击flavor=URL,type=DeploymentScanner进入

在输入框中写入war压缩文件webshell的url地址，如上图
点击invoke执行界面获得一个jsp的webshell，如下图

来源：Heck's Blog
地址：https://www.heckjj.com/jboss-server-bug-html/
转载时须以链接形式注明作者和原始出处及本声明，否则将追究法律责任，谢谢配合！

Tags: jboss , 漏洞 , bug

阅读(2422) | 评论(0) | 引用(0)

关于博主

Avatar me :

About me :
System security reseacher & developer, focus on vulnerability, rootkit, crack, virus, web security program development,Software Engineer. Distributed Application solutions from year of 2009. Joined Career in 2008. Working for Nine rivers now.

Contact me :
QQ : | 打赏我吧

Quick Start :
var heck = new Programmer();
heck.writeblog(new BlogPost());
heck.addEmail("i@heckjj.com");
heck.sayHello();

signature me:
Even in your side, I still think of you.Way back into love until you.

< 2026 > < 6 >
日	一	二	三	四	五	六
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Heck's Blog

jboss远程执行代码漏洞

关于博主

分类

日历

统计

最新日志

其他

选择模板

链接

最新评论

赞助商链接

归档