Siri ya tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za premium lililoundwa na wakora, Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

Mbinu za Uchunguzi na Utekaji

Wakati wa kutathmini usalama wa programu za wavuti, njia fulani kama /web-console/ServerInfo.jsp na /status?full=true ni muhimu kwa kufunua maelezo ya seva. Kwa seva za JBoss, njia kama /admin-console, /jmx-console, /management, na /web-console zinaweza kuwa muhimu. Njia hizi zinaweza kuruhusu ufikiaji wa servlets za usimamizi na sifa za msingi mara nyingi zikiwa admin/admin. Ufikiaji huu unawezesha mwingiliano na MBeans kupitia servlets maalum:

• Kwa toleo la 6 na 7 la JBoss, hutumika /web-console/Invoker.

• Katika JBoss 5 na toleo za awali, /invoker/JMXInvokerServlet na /invoker/EJBInvokerServlet zinapatikana.

Zana kama clusterd, inapatikana kwa https://github.com/hatRiot/clusterd, na moduli ya Metasploit auxiliary/scanner/http/jboss_vulnscan inaweza kutumika kwa uchunguzi na uwezekano wa kutumia udhaifu katika huduma za JBOSS.

Vifaa vya Utekaji

Kutumia udhaifu, rasilimali kama JexBoss hutoa zana muhimu.

Kutafuta Malengo Yaliyo na Udhaifu

Google Dorking inaweza kusaidia kutambua seva zenye udhaifu kwa utaftaji kama: inurl:status EJInvokerServlet

Siri ya tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu za premium lililoundwa na wakora, Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!