jboss 默认有几个控制台,都是可能存在漏洞被黑客利用,除了web console 、jmx console。 还有JMXInvokerServlet,访问路径是ip/invoker/JMXInvokerServlet 。

一开始以为删除对应的deploy文件夹(/deploy/http-invoker.sar/)就可以,但是重启发现有一些异常堆栈,大概意思是找不到类,都是action相关的。查了一些发现这个deploy文件夹的功能包括jndi的proxy binding等,按理说没用到应该没关系。既然报错了,那就另辟蹊径,在/http-invoker.sar/invoker.war/WEB-INF/ 下有web.xml 配置文件,那直接把JMXInvokerServlet这个servlet的相关配置注释掉,重启发现这个控制台已经无法访问,这个安全问题也就修复了

转载于:https://www.cnblogs.com/firstdream/p/5972551.html

disable jboss JMXInvokerServlet .相关推荐

  1. 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞

    JBoss JMXInvokerServlet 反序列化漏洞 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 端口设置 浏览器设置 BurpSuit设置 复现漏洞 序列化数据生成 发送POC ...

  2. 渗透测试之地基服务篇:服务攻防之中间件JBoss

    简介 渗透测试-地基篇 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西. 请注意: 本文仅用于技术讨论与研究,对于所有笔 ...

  3. JBoss漏洞总结复现

    目录 简介 JBoss发序列化漏洞(CVE-2017-12149) 漏洞描述 漏洞原理 影响范围 漏洞复现 修复建议 JBossMQ JMS反序列化漏洞(CVE-2017-7504) 漏洞描述 漏洞原 ...

  4. 学习笔记-B/S - Exploits

    B/S - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 各类论坛/CMS框架 AEM 74CMS dedeC ...

  5. 反序列化工具_JBOSS反序列化漏洞

    10月13日 简简单单的复现一个漏洞0x00 起因 因为当初说要把vulhub上面的漏洞都复现一遍,然后今天看内网的书又头疼,python也学不下去,打开vulhub,然后随便一滚鼠标滑轮,刚刚好遇见 ...

  6. 渗透测试神器CS(4.0)的使用

    CS CS简介 CS功能 安装CS CS的基本使用 深入标题介绍 Beacon Commands 基础操作演示 CS简介 CS 是Cobalt Strike的简称,是一款渗透测试神器,常被业界人称为C ...

  7. HFS远程命令执行漏洞复现

    漏洞程序下载地址:Http File Server 这里说一下,在Windows server 2003中复现时,我直接使用Administrator用户登录,然后复现,未出现权限问题.再Window ...

  8. kali安装docker(有效详细的教程)

    前记: 博主有着多次安装docker的丰富经验,曾经为了在kali成功安装docker花费不少时间.在kali2016.3一直到最新的kali2019.4都通吃!所以跟着下面的步骤走,绝对不会出错.( ...

  9. Web中间件常见安全漏洞总结

    IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务.IIS目前只适用于W ...

最新文章

  1. R语言入门——ggplot2
  2. JavaScript - Closure
  3. Android启动界面优化技巧-Splash Screens的正确方式
  4. 盘点智能语音行业:Nuance没落 BAT围绕核心业务
  5. QT绘制带有数据源的图表
  6. Asp.net 安装包制作 (转)
  7. 【每日一题】4月6日数码
  8. vj节点_创意编码—如何在JavaScript中创建VJ引擎
  9. ArcUser 2006第2期拾零
  10. 需要自己调研的框架,以及需要学习的内容
  11. 浅谈WebView利用localStore websql和IndexDB 来存储数据
  12. 48 页小米用户画像实战PPT
  13. PVE系列教程(三)、安装黑威联通
  14. 51单片机秒表设计c语言版,51单片机秒表系统的设计
  15. 什么叫冷备用状态_线路和设备冷备用和热备用的状态分别是什么意思?
  16. 抖音如何推广运营?抖音如何快速涨粉?
  17. android sha1校验工具,【原创实用】文件校验工具V1.2.1:支持MD5 SHA1 SHA256
  18. 重磅!《中国迈向新一代人工智能》全文来了。道翰天琼认知智能平台为您揭秘新一代人工智能。
  19. QT日历 QCalendarWidget
  20. SEO上下线营销思维:二者兼备实现“落地”

热门文章

  1. 我开发的kvm虚拟化虚拟机批量生产脚本
  2. 循环体中对集合进行增删时报错:java.util.ConcurrentModificationException
  3. Whitelabel Error Page : spring boot项目启动后,无法访问@RequestMapping标注的请求
  4. oracle共享内存段手工清理
  5. catch所有提示的异常类型,程序执行异常时却还是没有报错,异常没有被catch到吗[已解决]
  6. iPhone应用可用性的试探性分析
  7. python a和b字符串和占位符输出_python格式化输出
  8. 使用template扩展已有的DDX_Text函数,使扩展能够同时支持各种数据类型的一个例子...
  9. 当WEB2.0从概念变成电子商务网站的工具
  10. 简书UI易用性缺陷:投稿按钮太小