JBOSS
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty wenk: meld aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings tot $100,000 te verdien!
Wanneer die sekuriteit van webtoepassings beoordeel word, is sekere paaie soos /web-console/ServerInfo.jsp en /status?full=true sleutel om bediener besonderhede te onthul. Vir JBoss bedieners kan paaie soos /admin-console, /jmx-console, /management, en /web-console van kardinale belang wees. Hierdie paaie mag toegang tot bestuursservlets toelaat met standaard akrediteer wat dikwels op admin/admin gestel is. Hierdie toegang fasiliteer interaksie met MBeans deur spesifieke servlets:
Vir JBoss weergawes 6 en 7, word /web-console/Invoker gebruik.
In JBoss 5 en vroeëre weergawes, is /invoker/JMXInvokerServlet en /invoker/EJBInvokerServlet beskikbaar.
Gereedskap soos clusterd, beskikbaar by https://github.com/hatRiot/clusterd, en die Metasploit module auxiliary/scanner/http/jboss_vulnscan
kan gebruik word vir enumerasie en potensiële eksploitatie van kwesbaarhede in JBOSS dienste.
Om kwesbaarhede te eksploiteer, bied hulpbronne soos JexBoss waardevolle gereedskap.
Google Dorking kan help om kwesbare bedieners te identifiseer met 'n navraag soos: inurl:status EJInvokerServlet
Bug bounty wenk: meld aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings tot $100,000 te verdien!
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)