Jboss未授权访问

Jboss未授权访问

参考链接:jboss 未授权访问漏洞复现

1、漏洞描述及环境

在低版本中,默认可以访问Jboss web控制台(http://127.0.0.1:8080/jmx-console),无需用户名和密码。

环境:CVE-2017-7504的漏洞环境

在这里插入图片描述

 

2、漏洞浮现

转向链接:http://XXX:62019/jmx-console/
【上面说无需密码,但是当我进行登陆的时候还是需要密码的。】
如下,进入控制页面
在这里插入图片描述
输入密码。
在这里插入图片描述
进入应用部署。
在这里插入图片描述
通过addurl参数及进行木马的远程部署。
在这里插入图片描述
部署成功。
在这里插入图片描述
按道理可以正常访问,然后,我的pc不按道理了,所以访问不了。

 

3、漏洞防御

对jmx控制页面访问添加访问验证

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/Xor0ne/p/13405436.html