JBOSS远程部署war包漏洞复现
框架介绍:
是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用
漏洞复现:
第一种:
访问页面之后,点击。
进入到控制页面后我们点击
找到我们的add URL
将我们的www目录下的war包传入靶机
传入成功
第二种:
点击Web Application(war)s。
点击add a new resource。
选择一个war包上传,上传后,进入该war包,点击start。
查看status为sucessful。
访问该war包页面,进入后门。
可进行文件管理和系统命令执行。