返回列表 回复 发帖

利用JBoss服务器漏洞安装WAR组件

JBoss是基于J2EE的开源应用服务器,它可以管理EJB容器和服务器。在其4.2和4.3版本中,服务器模块JMX-Console只对GET和POST方式进行访问控制,而允许远程攻击者使用其他方式发送请求,绕过访问控制。该漏洞编号为CVE-2010-0738。Metasploit的jboss_bshdeployer模块通过PUT方式调用jboss.system:BSHdeployer的createScriptDeployment方法,部署攻击者上传到的WAR文件。
返回列表