JBOSS

Jifunze kuhack AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kuhack kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Siri ya tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za premium lililoundwa na wakora, Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Mbinu za Uchunguzi na Utekaji

Wakati wa kutathmini usalama wa programu za wavuti, njia fulani kama /web-console/ServerInfo.jsp na /status?full=true ni muhimu kwa kufunua maelezo ya seva. Kwa seva za JBoss, njia kama /admin-console, /jmx-console, /management, na /web-console zinaweza kuwa muhimu. Njia hizi zinaweza kuruhusu ufikiaji wa servlets za usimamizi na sifa za msingi mara nyingi zikiwa admin/admin. Ufikiaji huu unawezesha mwingiliano na MBeans kupitia servlets maalum:

Kwa toleo la 6 na 7 la JBoss, hutumika /web-console/Invoker.
Katika JBoss 5 na toleo za awali, /invoker/JMXInvokerServlet na /invoker/EJBInvokerServlet zinapatikana.

Zana kama clusterd, inapatikana kwa https://github.com/hatRiot/clusterd, na moduli ya Metasploit auxiliary/scanner/http/jboss_vulnscan inaweza kutumika kwa uchunguzi na uwezekano wa kutumia udhaifu katika huduma za JBOSS.

Vifaa vya Utekaji

Kutumia udhaifu, rasilimali kama JexBoss hutoa zana muhimu.

Kutafuta Malengo Yaliyo na Udhaifu

Google Dorking inaweza kusaidia kutambua seva zenye udhaifu kwa utaftaji kama: inurl:status EJInvokerServlet