一、Jboss简介
1、Jboss是一个广泛使用的开源Java应用服务器
2、Jboss使用到的默认端口有8080、9990
二、Jboss主流版本风险总结
1、jmx-console弱密码或密码泄露导致getshell
2、admin-console弱密码或密码泄露导致getshell
3、CVE-2013-4810(JMXInvokerServlet、EJBInvokerServlet远程命令执行漏洞)
4、Jboss Java反序列化漏洞
三、漏洞危害
1、可以部署恶意Web后门、执行任意命令代码
2、控制Web服务器,并进行内网渗透
四、漏洞复现
五、漏洞修复
1、为Jmx-console、admin-console设置复杂的密码
2、删除JMXInvokerServlet、EJbInvokerServlet
3、使用Jboss AS7.X以上的版本
六、攻击行为监控
1、监控jboss的日志文件 jboss/server/default/log/server.log
2、监控jboss/server/default/deploy/目录
3、org.jboss.deployment.MainDeployer
4、org.jboss.profileservice.management.upload
5、org.jboss.as.server.deployment