4.8 KiB
JBOSS
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT!
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.
Si vous êtes intéressé par une carrière de piratage et que vous voulez pirater l'impossible - nous recrutons ! (polonais écrit et parlé couramment requis).
{% embed url="https://www.stmcyber.com/careers" %}
Énumération
Les pages web /web-console/ServerInfo.jsp et /status?full=true révèlent souvent les détails du serveur.
Vous pouvez exposer les servlets de gestion via les chemins suivants dans JBoss (selon la version) : /admin-console, /jmx-console, /management et /web-console. Les identifiants par défaut sont admin/admin. Après avoir obtenu l'accès, vous pouvez utiliser les servlets d'invocation disponibles pour interagir avec les MBeans exposés :
- /web-console/Invoker (versions JBoss 6 et 7)
- /invoker/JMXInvokerServlet et /invoker/EJBInvokerServlet (JBoss 5 et antérieures)
Vous pouvez énumérer et même exploiter un service JBOSS en utilisant clusterd
Ou en utilisant metasploit : msf > use auxiliary/scanner/http/jboss_vulnscan
Exploitation
https://github.com/joaomatosf/jexboss
Google Dork
inurl:status EJInvokerServlet
Si vous êtes intéressé par une carrière de hacker et souhaitez hacker l'impénétrable - nous recrutons ! (maîtrise du polonais à l'écrit et à l'oral requise).
{% embed url="https://www.stmcyber.com/careers" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et au dépôt hacktricks-cloud.