Jboss未授权访问
参考链接:jboss 未授权访问漏洞复现
1、漏洞描述及环境
在低版本中,默认可以访问Jboss web控制台(http://127.0.0.1:8080/jmx-console),无需用户名和密码。
环境:CVE-2017-7504的漏洞环境
2、漏洞浮现
转向链接:http://XXX:62019/jmx-console/
【上面说无需密码,但是当我进行登陆的时候还是需要密码的。】
如下,进入控制页面
输入密码。
进入应用部署。
通过addurl参数及进行木马的远程部署。
部署成功。
按道理可以正常访问,然后,我的pc不按道理了,所以访问不了。
3、漏洞防御
对jmx控制页面访问添加访问验证