几个作业

Jboss invoke 接口修复

找到地址F:\jboss-4.2.3.GA\server\all\deploy\jmx-console.war\WEB-INF下的web.xml文件

 

打开文件，先修改代码注释范围，再把代码中的post和get两个方法去掉，这样就任何方法都不能通过了

weblogic弱口令漏洞部署木马

配置好web logic，启动服务在浏览器输入127.0.0.1:7001，页面如果显示404，表示我们配置并启动服务成功

继续输入127.0.0.1:7001/console页面自动跳转到登陆界面，再输入弱口令weblogic便可登陆

登陆后点击Depoyments,再选择Install进入上传页面

 

再上传页面选择upload your file(s)选择上传文件

 

在浏览处添加我们准备好的木马war包然后就是一直Next到Finsh出来

 

上传结束后我们可以在跳转出来的界面看到我们已经上传上去的木马文件

 

然后在浏览器中我们可以查看我们的木马文件，确认上传成功

Jboss反序列化getshell

首先用反序列化测试工具检测是否存在此漏洞

 

然后利用网站上图片的请求获取图片的名称，并在本地搭建相同网站查找改图片所在的位置，此位置就是我们要上传大马getshell的路径

然后用测试工具上传大马到目录下

再用浏览器打开我们上传的大马，最终getshell

weblogic反序列化getshell

同样先用反序列化测试工具扫描看看是否存在漏洞

再先查看图片请求获取图片名称，然后再本地查找图片所在的目录，确定大马要上传的位置，上传大马

再用浏览器验证，我们是否真正的上传上了可以使用的大马

 

大马可以正常在浏览器打开，证明我们已经上传成功，并成功getshell