Java war打包和解壓命令

標籤：

      涉及到JBoss不合理配置時，可以非授權訪問jmx-console，這樣就可以部署惡意war檔案，得到JBoss伺服器的webshell，進而可以進一步滲透得到伺服器許可權乃至內網漫遊。

      關於JBoss配置不當的攻擊思路，網路上有許多相關的資料。可以參照連結：http://drops.wooyun.org/papers/178和http://www.hack80.com/thread-22662-1-1.html。涉及到部署war包時，有的是在eclipse中進行操作，其實在命令列下也是可以進行的。既然只是部署webshell，那就用最簡單的命令列下的操作吧。

      其實這個網上也有很多資料。我只是收集下，自己做個筆記，方便日後查看。準備部署的war檔案需要包含*.jsp檔案和一個WEB-INF的檔案夾，其中WEB-INF檔案夾要包含一個web.xml的檔案。其格式可以參照如下:

<?xml version="1.0" ?>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"

    version="2.4">

<servlet>

<servlet-name>JspSpy Shell</servlet-name>

<jsp-file>/JspSpy.jsp</jsp-file>

</servlet>

</web-app>

      在命令列下，進入需要打包的目錄，如所示：

      接下來，執行jar命令，格式為：

      jar cvf 打包檔案名稱 要打包的目錄 打包檔案儲存路徑

      如所示：

      解壓命令自然就是:

      jar xvf cmd.war

      如所示：

      好了，到此為止。這個比在eclipse下面打包要簡單。

Java war打包和解壓命令