服务器: windows 7
攻击机: windows 10
使用win7搭建环境,由于jboss依赖Java基本环境,所以应当先安装Java环境,使用jdk-6u14版本,Java安装完成后记得去环境变量配置
jboss安装包在jboss下载页面下载即可,为压缩包,此处使用版本为4.2.2.GA
下载完成后将压缩包内的文件夹解压到C盘根目录并改名为jboss,由于此处我们不使用其它功能——权限处理组件AOP | mysql连接驱动 等暂时不安装
在命令行界面cd进入jboss目录,输入run.bat -b win7-IP,加载出现秒数时成功启动
(攻击机也需要安装Java环境)
在攻击机浏览器输入 http://win7-IP:8080/能够正常访问后
下载反序列化测试工具
在目标栏输入http://win7-IP:8080/
点击[目标信息] > [获取信息]按钮获取目标机信息,包括系统信息,服务器版本信息等
点击[执行命令]输入对应系统命令,点击[执行]按钮成功执行,获取shell
* * * * * *
其他漏洞后续再尝试
转载自:
参考链接:
关于Jboss环境搭建和中间件漏洞复现_GFXer的博客-CSDN博客