常見web中間件拿shell
1.weblogic
後台頁面:(http為7001,https為7002)
Google關鍵字:WebLogic Server AdministrationConsole inurl:console
默認的用戶名密碼
1、用戶名密碼均為:weblogic
2、用戶名密碼均為:system
3、用戶名密碼均為:portaladmin
4、用戶名密碼均為:guest
上傳地方:
workshop> Deployments> Web應用程序> 部署新的 Web 應用程序模塊…
上傳war的webshell。
上傳後目標模塊->部署。
2.Tomcat
後台:http://172.16.102.35:8080/manager/html
默認用戶名密碼
tomcat tomcat
上傳地方:
Deploy之後即發布成功
shell地址:http://172.16.102.35:8080/magerx/test.jsp(其中magerx為war包的名字)
3.jboss
後台:http://172.16.102.35:9990
上傳地方:Deployments>Manage Deployments>Add Content
Enable後即可發布
shell地址:
http://172.16.102.35:8080/magerx/test.jsp
4.JOnAS
後台:http://172.16.102.35:9000/jonasAdmin/
默認用戶名密碼:
jadmin jonas
tomcat tomcat
jonas jonas
上傳地方:Deployment>Web Modules (WAR)>Upload
Apply之後即可發布
shell地址:http://172.16.102.35:9000/magerx/test.jsp
5.WebSphere
後台地址:https://172.16.102.35:9043/ibm/console/logon.jsp
上傳地方:應用程序>新建應用程序>新建企業應用程序
接下來各種下一步,步驟4注意填好「上下文根」
完成後單擊保存
回到應用程序>應用程序類型>WebSphere 企業應用程序
選中你上傳的war包 這裡是paxmac 點擊啟動 即可發布
shell地址:http://172.16.102.35:9080/paxmac/test.jsp
jsp文件打包,可以使用jdk/JRE自帶的jar命令:
切換到要打包的文件目錄
jar -cvf magerx.war test.jsp –>
※跨平台宏釣魚攻擊Payload的介紹及使用方式
※可可9.5patch 補碼工具
※新型「敲竹杠」木馬設置障眼法反偵察 360巧破天書密碼
※提權器Cobalt Strike發布3.6版本
※iptables防火牆策略的配置
TAG:黑白之道 |