小縣城裡的穩定工作,身邊的三五好友,晚飯過後出去喝點小酒,聊聊人生,迷茫又安穩。。。
---- 網易雲熱評
一、Struts2漏洞
1、在交互頁面找到**.action頁面
2、打開K8 struts2,將目標地址放進去
3、選擇不同的漏洞獲取信息,如下則存在漏洞,接著就可以文件上傳了
4、其他漏洞檢測工具
二、java反序列漏洞
1、存在漏洞的jboss網站
2、將地址複製到工具的目標地址欄,獲取信息
三、tomcat弱口令漏洞
1、找到登陸界面 http://192.168.171.135:8080/manager/html,默認賬號密碼:tomcat:tomcat
2、上傳war包
3、上傳後,會在上面自動生成一個目錄
4、輸入war包中的密碼就可以拿到shell了
四、weblogic弱口令拿shell
1、一般開放7001或7002端口都是安裝weblogic的主機
2、在目標url後面加上console一般就是登陸頁面
http://192.168.171.135:7001/console/login/LoginForm.jsp
3、弱口令:weblogic,system,portaladmin,guest,Oracle@123
4、登錄後找到deployments,點擊install
5、點擊upload your file(s)
6、選擇上傳的war包
7、訪問192.168.171.135:7001/1,輸入密碼,獲取shell
禁止非法,後果自負
分享到:
閱讀更多 web安全工具庫 的文章
