Jboss invoke 接口修复
找到地址F:jboss-4.2.3.GAserveralldeployjmx-console.warWEB-INF下的web.xml文件
打开文件,先修改代码注释范围,再把代码中的post和get两个方法去掉,这样就任何方法都不能通过了
weblogic弱口令漏洞部署木马
配置好web logic,启动服务在浏览器输入127.0.0.1:7001,页面如果显示404,表示我们配置并启动服务成功
继续输入127.0
登陆后点击Depoyments,再选择Install进入上传页面
再上传页面选择upload your file(s)选择上传文件
在浏览处添加我们准备好的木马war包然后就是一直Next到Finsh出来
上传结束后我们可以在跳转出来的界面看到我们已经上传上去的木马文件
然后在浏览器中我们可以查看我们的木马文件,确认上传成功
Jboss反序列化getshell
首先用反序列化测试工具检测是否存在此漏洞
然后利用网站上图片的请求获取图片的名称,并在本地搭建相同网站查找改图片所在的位置,此位置就是我们要上传大马getshell的路径
然后用测试工具上传大马到目录下
再用浏览器打开我们上传的大马,最终getshell
weblogic反序列化getshell
同样先用反序列化测试工具扫描看看是否存在漏洞
再先查看图片请求获取图片名称,然后再本地查找图片所在的目录,确定大马要上传的位置,上传大马
再用浏览器验证,我们是否真正的上传上了可以使用的大马
大马可以正常在浏览器打开,证明我们已经上传成功,并成功getshell