# JBOSS
Leer AWS-hacking vanaf nul tot held methtARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
**Bug bounty wenk**: **teken aan** vir **Intigriti**, 'n premium **bug bounty platform geskep deur hackers, vir hackers**! Sluit vandag by ons aan by [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks), en begin om belonings te verdien tot **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
## Enumerasie en Uitbuitingstegnieke
Wanneer die sekuriteit van webtoepassings geassesseer word, is sekere paaie soos _/web-console/ServerInfo.jsp_ en _/status?full=true_ sleutel tot die onthulling van **bedienerbesonderhede**. Vir JBoss-bedieners kan paaie soos _/admin-console_, _/jmx-console_, _/management_, en _/web-console_ krities wees. Hierdie paaie mag toegang tot **bestuurservlets** moontlik maak met standaardgelde dikwels ingestel op **admin/admin**. Hierdie toegang fasiliteer interaksie met MBeans deur spesifieke servlets:
* Vir JBoss-weergawes 6 en 7, word **/web-console/Invoker** gebruik.
* In JBoss 5 en vroeëre weergawes is **/invoker/JMXInvokerServlet** en **/invoker/EJBInvokerServlet** beskikbaar.
Gereedskap soos **clusterd**, beskikbaar by [https://github.com/hatRiot/clusterd](https://github.com/hatRiot/clusterd), en die Metasploit-module `auxiliary/scanner/http/jboss_vulnscan` kan gebruik word vir enumerasie en potensiële uitbuiting van kwesbaarhede in JBOSS-diens.
### Uitbuitingshulpbronne
Om kwesbaarhede uit te buit, bied hulpbronne soos [JexBoss](https://github.com/joaomatosf/jexboss) waardevolle gereedskap.
### Identifisering van Kwesbare Doelwitte
Google Dorking kan help om kwesbare bedieners te identifiseer met 'n soektog soos: `inurl:status EJInvokerServlet`
**Bug bounty wenk**: **teken aan** vir **Intigriti**, 'n premium **bug bounty platform geskep deur hackers, vir hackers**! Sluit vandag by ons aan by [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks), en begin om belonings te verdien tot **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
Leer AWS-hacking vanaf nul tot held methtARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS Familie**](https://opensea.io/collection/the-peass-family), ons versameling van eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
