本期作者：赛克艾威 实战型讲师 zksmile 分享

本文旨在安全人员，运维人员、开发小伙伴，学习和了解黑客的攻击手法和思路，然后思考防御此类攻击手法，有哪些方法可以防止此类攻击。

测试环境

WebLogic Server 版本: 10.3.6.0 (11g) jdk版本:1.6

环境安装：

环境采取P神的vulhub 下载网址及安装说明 https://github.com/vulhub/vulhub

漏洞测试步骤

（1）通过弱口令进后台，本测试环境弱口令为

用户名：weblogic 密码：Oracle@123 weblogic 常用弱口令可以参考：https://cirt.net/passwords?criteria=weblogic

（2）weblogic后台访问地址为：

http://ip:7001/console/login/LoginForm.jsp (默认端口是7001，要根据实际开放端口进行访问)

（3）输入账号名、密码登录之后进入后台管理界面-【部署】-【安装】

（4）在安装页面点击上载文件

（5）war包制作方法:

• 准备一个大马文件：xxx.jsp
• 将其压缩为 test.zip
• 然后重命名为 test.war

test即为部署成功大马存放的目录。​

（6）然后选择制作好的 war包，点击下一步。

（7）一直下一步，这里注意点击的是上边的下一步，不要点错了

（8）然后点击完成-保存。

（9）访问大马文件

这就是传说中的大马，可以做几乎所有的工作，控制服务器，当然这都不重要。如果各位小伙伴能认真完整的看完，肯定会有所收获，重要的是了解整个的攻击思路和步骤。

针对这个过程，想想有什么样的方法可以切断或者避免上述黑客攻击过程？欢迎大家留言讨论！

閱讀更多 Web安全陪跑團 的文章

關鍵字: 黑客 攻击 此类