4.5 KiB
JBOSS
Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.
Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließendes Polnisch in Wort und Schrift erforderlich).
{% embed url="https://www.stmcyber.com/careers" %}
Enumeration und Exploitation-Techniken
Bei der Bewertung der Sicherheit von Webanwendungen sind bestimmte Pfade wie /web-console/ServerInfo.jsp und /status?full=true entscheidend, um Serverdetails aufzudecken. Für JBoss-Server können Pfade wie /admin-console, /jmx-console, /management und /web-console entscheidend sein. Diese Pfade können den Zugriff auf Management-Servlets ermöglichen, bei denen die Standardanmeldeinformationen häufig auf admin/admin festgelegt sind. Dieser Zugriff erleichtert die Interaktion mit MBeans über bestimmte Servlets:
- Für JBoss-Versionen 6 und 7 wird /web-console/Invoker verwendet.
- In JBoss 5 und früheren Versionen stehen /invoker/JMXInvokerServlet und /invoker/EJBInvokerServlet zur Verfügung.
Tools wie clusterd, verfügbar unter https://github.com/hatRiot/clusterd, und das Metasploit-Modul auxiliary/scanner/http/jboss_vulnscan können für die Enumeration und potenzielle Ausnutzung von Schwachstellen in JBOSS-Diensten verwendet werden.
Exploitation-Ressourcen
Zur Ausnutzung von Schwachstellen bieten Ressourcen wie JexBoss wertvolle Tools.
Suche nach verwundbaren Zielen
Google Dorking kann bei der Identifizierung verwundbarer Server mit einer Abfrage wie: inurl:status EJInvokerServlet helfen.
Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließendes Polnisch in Wort und Schrift erforderlich).
{% embed url="https://www.stmcyber.com/careers" %}
Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.