4.5 KiB
JBOSS
{% hint style="success" %}
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Überprüfe die Abonnementpläne!
- Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
- Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.
Bug-Bounty-Tipp: Melde dich an bei Intigriti, einer Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Schließe dich uns an unter https://go.intigriti.com/hacktricks heute und beginne, Prämien von bis zu 100.000 $ zu verdienen!
{% embed url="https://go.intigriti.com/hacktricks" %}
Enumeration und Exploitation Techniken
Bei der Bewertung der Sicherheit von Webanwendungen sind bestimmte Pfade wie /web-console/ServerInfo.jsp und /status?full=true entscheidend, um Serverdetails offenzulegen. Für JBoss-Server sind Pfade wie /admin-console, /jmx-console, /management und /web-console von entscheidender Bedeutung. Diese Pfade könnten den Zugriff auf Management-Servlets ermöglichen, deren Standardanmeldeinformationen oft auf admin/admin gesetzt sind. Dieser Zugriff erleichtert die Interaktion mit MBeans über spezifische Servlets:
- Für JBoss-Versionen 6 und 7 wird /web-console/Invoker verwendet.
- In JBoss 5 und früheren Versionen sind /invoker/JMXInvokerServlet und /invoker/EJBInvokerServlet verfügbar.
Tools wie clusterd, verfügbar unter https://github.com/hatRiot/clusterd, und das Metasploit-Modul auxiliary/scanner/http/jboss_vulnscan
können zur Enumeration und potenziellen Ausnutzung von Schwachstellen in JBOSS-Diensten verwendet werden.
Exploitation Ressourcen
Um Schwachstellen auszunutzen, bieten Ressourcen wie JexBoss wertvolle Werkzeuge.
Finden von verwundbaren Zielen
Google Dorking kann helfen, verwundbare Server mit einer Abfrage wie: inurl:status EJInvokerServlet
zu identifizieren.
Bug-Bounty-Tipp: Melde dich an bei Intigriti, einer Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Schließe dich uns an unter https://go.intigriti.com/hacktricks heute und beginne, Prämien von bis zu 100.000 $ zu verdienen!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Überprüfe die Abonnementpläne!
- Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
- Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.