# JBOSS
Erlernen Sie AWS-Hacking von Null auf Held mithtARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositorys einreichen.
**Bug-Bounty-Tipp**: **Melden Sie sich an** bei **Intigriti**, einer Premium-**Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde**! Treten Sie noch heute bei [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) bei und beginnen Sie, Prämien von bis zu **100.000 $** zu verdienen!
{% embed url="https://go.intigriti.com/hacktricks" %}
## Enumeration und Exploitation-Techniken
Bei der Bewertung der Sicherheit von Webanwendungen sind bestimmte Pfade wie _/web-console/ServerInfo.jsp_ und _/status?full=true_ entscheidend, um **Serverdetails** aufzudecken. Für JBoss-Server können Pfade wie _/admin-console_, _/jmx-console_, _/management_ und _/web-console_ entscheidend sein. Diese Pfade können den Zugriff auf **Management-Servlets** ermöglichen, bei denen die Standardanmeldeinformationen häufig auf **admin/admin** gesetzt sind. Dieser Zugriff erleichtert die Interaktion mit MBeans über spezifische Servlets:
* Für JBoss-Versionen 6 und 7 wird **/web-console/Invoker** verwendet.
* In JBoss 5 und früheren Versionen sind **/invoker/JMXInvokerServlet** und **/invoker/EJBInvokerServlet** verfügbar.
Tools wie **clusterd**, verfügbar unter [https://github.com/hatRiot/clusterd](https://github.com/hatRiot/clusterd), und das Metasploit-Modul `auxiliary/scanner/http/jboss_vulnscan` können zur Enumeration und potenziellen Ausnutzung von Schwachstellen in JBOSS-Diensten verwendet werden.
### Exploitation-Ressourcen
Zur Ausnutzung von Schwachstellen bieten Ressourcen wie [JexBoss](https://github.com/joaomatosf/jexboss) wertvolle Tools.
### Auffinden verwundbarer Ziele
Google Dorking kann dabei helfen, verwundbare Server mit einer Abfrage wie: `inurl:status EJInvokerServlet` zu identifizieren.
**Bug-Bounty-Tipp**: **Melden Sie sich an** bei **Intigriti**, einer Premium-**Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde**! Treten Sie noch heute bei [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) bei und beginnen Sie, Prämien von bis zu **100.000 $** zu verdienen!
{% embed url="https://go.intigriti.com/hacktricks" %}
Erlernen Sie AWS-Hacking von Null auf Held mithtARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositorys einreichen.
