Java war打包和解壓命令


      涉及到JBoss不合理配置時,可以非授權訪問jmx-console,這樣就可以部署惡意war文件,得到JBoss服務器的webshell,進而可以進一步滲透得到服務器權限乃至內網漫游。

      關於JBoss配置不當的攻擊思路,網絡上有許多相關的資料。可以參照鏈接:http://drops.wooyun.org/papers/178http://www.hack80.com/thread-22662-1-1.html。涉及到部署war包時,有的是在eclipse中進行操作,其實在命令行下也是可以進行的。既然只是部署webshell,那就用最簡單的命令行下的操作吧。

      其實這個網上也有很多資料。我只是收集下,自己做個筆記,方便日后查看。准備部署的war文件需要包含*.jsp文件和一個WEB-INF的文件夾,其中WEB-INF文件夾要包含一個web.xml的文件。其格式可以參照如下:

<?xml version="1.0" ?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
	<servlet>	
		<servlet-name>JspSpy Shell</servlet-name>
		<jsp-file>/JspSpy.jsp</jsp-file>
	</servlet>
</web-app>

      在命令行下,進入需要打包的目錄,如下圖所示:

02

      接下來,執行jar命令,格式為:

      jar cvf 打包文件名稱 要打包的目錄 打包文件保存路徑

      如下圖所示:

03

      解壓命令自然就是:

      jar xvf cmd.war

      如下圖所示:

04

      好了,到此為止。這個比在eclipse下面打包要簡單。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM