本期作者:賽克艾威 實戰型講師 zksmile 分享
本文旨在安全人員,運維人員、開發小夥伴,學習和了解黑客的攻擊手法和思路,然後思考防禦此類攻擊手法,有哪些方法可以防止此類攻擊。
測試環境
WebLogic Server 版本: 10.3.6.0 (11g) jdk版本:1.6
環境安裝:
環境採取P神的vulhub 下載網址及安裝說明 https://github.com/vulhub/vulhub
漏洞測試步驟
(1)通過弱口令進後臺,本測試環境弱口令為
用戶名:weblogic 密碼:Oracle@123 weblogic 常用弱口令可以參考:https://cirt.net/passwords?criteria=weblogic
(2)weblogic後臺訪問地址為:
http://ip:7001/console/login/LoginForm.jsp (默認端口是7001,要根據實際開放端口進行訪問)
(3)輸入賬號名、密碼登錄之後進入後臺管理界面-【部署】-【安裝】
(4)在安裝頁面點擊上載文件
(5)war包製作方法:
- 準備一個大馬文件:xxx.jsp
- 將其壓縮為 test.zip
- 然後重命名為 test.war
test即為部署成功大馬存放的目錄。
(6)然後選擇製作好的 war包,點擊下一步。
(7)一直下一步,這裡注意點擊的是上邊的下一步,不要點錯了
(8)然後點擊完成-保存。
(9)訪問大馬文件
這就是傳說中的大馬,可以做幾乎所有的工作,控制服務器,當然這都不重要。如果各位小夥伴能認真完整的看完,肯定會有所收穫,重要的是瞭解整個的攻擊思路和步驟。
針對這個過程,想想有什麼樣的方法可以切斷或者避免上述黑客攻擊過程?歡迎大家留言討論!
閱讀更多 Web安全陪跑團 的文章