常见的未授权访问漏洞 [复制链接]

漏洞汇总

jboss未授权访问漏洞

漏洞描述

此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进?到jmx控制台，并在其中执?任何功能未授权访问管理控制台,通过该漏洞,可以后台管理服务,可以通过脚本命令执行系统命令,如反弹shell,wget写webshell文件

影响版本

jboss4.x以下

环境搭建

使用docker搭建的靶场，访问页面your-ip/p>

漏洞检测

漏洞复现

1.写入一句话木马