文章作者:Inking
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
首先声明这篇文章完全没有技术含量,我也想过到底要不要发到原创,但是觉得除了发原创也真不知道发哪里好了,所以最好还是发这里来了.发这篇文章是因为自己从来没有遇到过这种情况,虽说这里都是高手,但也难免有几个可能会没有遇到过的,所以拿出来和大家探讨一下.
昨天晚上一个校内网友给我一个地址(http://10.13.31.123:8888/manager/html/list)问我有啥用,我访问了一下,结果需要输入用户名和密码,如图1.
 先不管这个,我访问了一下 http://10.13.31.123:8888/,看到一个类似于安装apache http server后留下的页面,然后我又转到刚才那个密码框,输入admin,密码留空成功进入了
之前从来没有接触过jsp,更加没有接触过Tomcat,不知道这个页面是干嘛的,不过根据一些e文的描述觉得很可能是用来管理web应用程序的,我随便点击了一个applications里面的链接,出来某个网站的首页,这便更加肯定了我的想法.页面的最下方有一个上传,试着传个图片上去,结果提示
原来是要上传.war格式的.之前我完全不知道有这个格式,google上赶紧翻了一下原来是一个打包格式.再看了一下用一个什么jar.exe的程序可以打包,而且大致浏览了两篇文章好像都和java有关,于是我转到自己早日安装的java平台里面查这个jar.exe,果然后,然后试了几条命令,终于将文件打包成功,命令是 Quote:
jar.exe cvf inking.war index.jsp 其中inking.war是我最终打包好的程序,index.jsp是我找到的jsp木马,然后上传,在applications里面发现了我的大名
点进去看看,呵呵我的马赫然出现了,而且还是system权限.
原来这个页面的大致功能是用来管理jsp应用程序的,上传war文件后会直接解包.真是郁闷,为何管理员会这么不小心留下这么好的东西呢
文章就到这里,拿下这台服务器前后花了10分钟左右,期间浏览了大量的文章,由于时间很短,没有仔细去看,只挖掘了对自己有用的信息,理解上很不深刻,必然有很多错误的地方,请大家指正.当然,我网友遇到的这种情况应该很少,也许在以后的入侵过程中不会用到. |
