JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范。,默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。

》》》漏洞复现《《《

步骤一：使用以下语法搜索Jboss产品并打开其页面....

title="Welcome to JBoss"

步骤二：拼接以下路径且无需认证直接进入控制页面...

#拼接路径
http://ip:port/jmx-console/


admin admin

步骤三：后续可以利用jboss.deployment部署shell

》》》漏洞修复《《《

1. jboss.deployment部署shell
2. 进行JMX Console 安全配置。