4.4 KiB
JBOSS
{% hint style="success" %}
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
{% embed url="https://go.intigriti.com/hacktricks" %}
Técnicas de Enumeração e Exploração
Ao avaliar a segurança de aplicações web, certos caminhos como /web-console/ServerInfo.jsp e /status?full=true são fundamentais para revelar detalhes do servidor. Para servidores JBoss, caminhos como /admin-console, /jmx-console, /management e /web-console podem ser cruciais. Esses caminhos podem permitir acesso a servlets de gerenciamento com credenciais padrão frequentemente definidas como admin/admin. Esse acesso facilita a interação com MBeans através de servlets específicos:
- Para as versões 6 e 7 do JBoss, utiliza-se /web-console/Invoker.
- No JBoss 5 e versões anteriores, estão disponíveis /invoker/JMXInvokerServlet e /invoker/EJBInvokerServlet.
Ferramentas como clusterd, disponíveis em https://github.com/hatRiot/clusterd, e o módulo Metasploit auxiliary/scanner/http/jboss_vulnscan
podem ser usados para enumeração e potencial exploração de vulnerabilidades nos serviços JBOSS.
Recursos de Exploração
Para explorar vulnerabilidades, recursos como JexBoss fornecem ferramentas valiosas.
Encontrando Alvos Vulneráveis
Google Dorking pode ajudar a identificar servidores vulneráveis com uma consulta como: inurl:status EJInvokerServlet
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
{% embed url="https://go.intigriti.com/hacktricks" %}
{% hint style="success" %}
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.