4.8 KiB
JBOSS
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Trabalha numa empresa de cibersegurança? Quer ver a sua empresa anunciada no HackTricks? ou quer ter acesso à versão mais recente do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Adquira o merchandising oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.
Se está interessado numa carreira de hacking e em hackear o inquebrável - estamos contratando! (é necessário polonês fluente escrito e falado).
{% embed url="https://www.stmcyber.com/careers" %}
Enumeração
As páginas web /web-console/ServerInfo.jsp e /status?full=true frequentemente revelam detalhes do servidor.
Você pode expor servlets de gerenciamento através dos seguintes caminhos no JBoss (dependendo da versão): /admin-console, /jmx-console, /management, e /web-console. As credenciais padrão são admin/admin. Ao ganhar acesso, você pode usar servlets invocadores disponíveis para interagir com MBeans expostos:
- /web-console/Invoker (versões 6 e 7 do JBoss)
- /invoker/JMXInvokerServlet e /invoker/EJBInvokerServlet (JBoss 5 e anteriores)
Você pode enumerar e até mesmo explorar um serviço JBOSS usando clusterd
Ou usando metasploit: msf > use auxiliary/scanner/http/jboss_vulnscan
Exploração
https://github.com/joaomatosf/jexboss
Google Dork
inurl:status EJInvokerServlet
Se você está interessado em carreira de hacking e hackear o inquebrável - estamos contratando! (é necessário polonês fluente escrito e falado).
{% embed url="https://www.stmcyber.com/careers" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à versão mais recente do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Adquira o material oficial PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.