Jboss未授权访问

1、漏洞描述及环境

在低版本中，默认可以访问Jboss web控制台(http://127.0.0.1:8080/jmx-console)，无需用户名和密码。

环境：CVE-2017-7504的漏洞环境

在这里插入图片描述

2、漏洞浮现

转向链接：http://XXX:62019/jmx-console/
【上面说无需密码，但是当我进行登陆的时候还是需要密码的。】
如下，进入控制页面
在这里插入图片描述
输入密码。

进入应用部署。

通过addurl参数及进行木马的远程部署。

部署成功。

按道理可以正常访问，然后，我的pc不按道理了，所以访问不了。

3、漏洞防御

对jmx控制页面访问添加访问验证

相关阅读:
js公共时间戳方法es6
vue权限路由
vue中websocket心跳写法
vue引入全局组件和局部组件的区别以及全局注册公共函数
[干货]关于vue作用域插槽的新的深入理解
vue系统指令v-text(前端网备份)
浏览器兼容html头部<meta>标签主要内容详情
如何设置td中溢出内容的隐藏显示
7-4列表/元组/字典/集合的内置方法
7-3 整型/浮点型/字符串/列表常用方法

原文地址：https://www.cnblogs.com/Xor0ne/p/13405436.html