Jboss invoke 接口修复
找到地址 F:
\jboss-4.2.3.GA
\server\all\deploy\jmx-console.war\web-INF 下的 web.xml 文件
打开文件, 先修改代码注释范围, 再把代码中的 post 和 get 两个方法去掉, 这样就任何方法都不能通过了
weblogic 弱口令漏洞部署木马
配置好
web
logic, 启动服务在浏览器输入 127.0.0.1:7001, 页面如果显示 404, 表示我们配置并启动服务成功
继续输入 127.0.0.1:7001/console 页面自动跳转到登陆界面, 再输入弱口令 weblogic 便可登陆
登陆后点击 Depoyments, 再选择 Install 进入上传页面
再上传页面选择 upload your file(s) 选择上传文件
在浏览处添加我们准备好的木马 war 包然后就是一直 Next 到 Finsh 出来
上传结束后我们可以在跳转出来的界面看到我们已经上传上去的木马文件
然后在浏览器中我们可以查看我们的木马文件, 确认上传成功
Jboss 反序列化 getshell
首先用反序列化测试工具检测是否存在此漏洞
然后利用网站上图片的请求获取图片的名称, 并在本地搭建相同网站查找改图片所在的位置, 此位置就是我们要上传大马 getshell 的路径
然后用测试工具上传大马到目录下
再用浏览器打开我们上传的大马, 最终 getshell
来源: http://www.bubuko.com/infodetail-2577750.html