4.5 KiB
JBOSS
AWS hackleme becerilerini sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile!
HackTricks'ı desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamınızı görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARINI kontrol edin!
- Resmi PEASS & HackTricks ürünlerini edinin
- PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
- Bize katılın 💬 Discord grubunda veya telegram grubunda veya bizi Twitter 🐦 @carlospolopm'da takip edin.
- Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.
Ödül avcılığı ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium ödül avcılığı platformu! Bugün https://go.intigriti.com/hacktricks adresinde bize katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
{% embed url="https://go.intigriti.com/hacktricks" %}
Sıralama ve Sömürü Teknikleri
Web uygulamalarının güvenliğini değerlendirirken, /web-console/ServerInfo.jsp ve /status?full=true gibi belirli yollar sunucu detaylarını ortaya çıkarmak için önemlidir. JBoss sunucuları için /admin-console, /jmx-console, /management ve /web-console gibi yollar kritik olabilir. Bu yollar genellikle varsayılan kimlik bilgileriyle admin/admin olarak ayarlanmış yönetim servletlerine erişime izin verebilir. Bu erişim belirli servletler aracılığıyla MBean'larla etkileşimi kolaylaştırır:
- JBoss sürümleri 6 ve 7 için /web-console/Invoker kullanılır.
- JBoss 5 ve daha eski sürümlerinde /invoker/JMXInvokerServlet ve /invoker/EJBInvokerServlet mevcuttur.
clusterd gibi araçlar, https://github.com/hatRiot/clusterd adresinde bulunabilir ve Metasploit modülü auxiliary/scanner/http/jboss_vulnscan, JBOSS hizmetlerindeki zafiyetlerin sıralaması ve potansiyel sömürüsü için kullanılabilir.
Sömürü Kaynakları
Zafiyetleri sömürmek için JexBoss gibi kaynaklar değerli araçlar sağlar.
Zafiyetli Hedeflerin Bulunması
Google Dorking, inurl:status EJInvokerServlet gibi bir sorgu ile zafiyetli sunucuların belirlenmesine yardımcı olabilir.
Ödül avcılığı ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium ödül avcılığı platformu! Bugün https://go.intigriti.com/hacktricks adresinde bize katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
{% embed url="https://go.intigriti.com/hacktricks" %}
AWS hackleme becerilerini sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile!
HackTricks'ı desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamınızı görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARINI kontrol edin!
- Resmi PEASS & HackTricks ürünlerini edinin
- PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
- Bize katılın 💬 Discord grubunda veya telegram grubunda veya bizi Twitter 🐦 @carlospolopm'da takip edin.
- Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.