+
jboss漏洞
导致 JBoss 漏洞的配置不当示例如下:
1.
弱口令漏洞
:
未更改默认的用户名和密码,使得攻击者可以轻易通过默认凭证访问管理控制台。
攻击者可以登录管理界面,上传恶意的 WAR 包来部署自己的代码,从而获取 webshell。
2.
未授权访问漏洞
:
JBoss 的
invoke
接口允许用户通过 HTTP 请求调用服务器上的方法。如果未正确设置访问控制,外部用户可以未经授权访问这些功能。
攻击者可以通过
invoke
接口直接访问并操作服务器上的资源,例如上传和执行自定义的 WAR 文件。
3.
HEAD 请求绕过漏洞
:
在某些配置中,JBoss 服务器只对 POST 和 GET 请求进行了安全检查,而忽略了 HEAD 请求。
攻击者可以通过 HEAD 请求上传并部署恶意的 WAR 包。
4.
反序列化漏洞
:
访问
/invoker/JMXInvokerServlet
或者
/invoker/readonly
或者
/invoker/JMXInvokerServlet/*
页面,如果页面返回 500 错误、有文件下载或者页面正常显示,则可能存在反序列化漏洞。
攻击者可以利用专用工具通过这些接口进行反序列化攻击,从而获取 webshell。
流量特征
他的流量特征之一为URL头含有/invoker/JMXInvokerServlet或者
invoker/readonly
后页面为500,还有就是看下请求体有没有执行函数例如whoami