一、后台弱口令GetShell
1.搭建环境进入,在url后加/console可以进入登录页面
2.默认账号密码:weblogic/Oracle@123 输入并登录
3.进入后点击部署--安装
4.点击上载文件
5.上传war包,jsp木马压缩成zip,修改后缀为war,上传
6.点击上传
7.上传完成后访问你植入的木马,没有报错证明注入成功
8.使用哥斯拉进行连接测试,测试成功
------------
二、CVE-2017-3506
方法一 软件注入 :Java反序列化漏洞利用工具
1.打开Java反序列化漏洞利用工具软件,将要测试的网址复制进去,点击检查
2.存在漏洞点击命令执行 输入whoami点击执行
3.点击文件上传--将自己的jsp木马输入进去 点击上传
4.下方会出现木马注入的地址
5.访问此地址,访问成功证明注入成功
6.打开哥斯拉进行连接测试,测试成功!
----------------
三、CVE-2019-2725
1.搭建环境,启动在url后加/_async/AsyncResponseService,显示以下页面,则说明存在漏洞
2.将当前页面进行抓包,修改请求包 , 写⼊shell
3.访问植入的木马,成功代表植入成功
4.使用哥斯拉连接成功
-------------------
四、CVE-2018-2628
1.搭建环境打开
2.直接使用liqun,右上角使用cve_2018_2628
3.点击文件上传上传jsp木马
4.访问木马路径,访问成功证明植入成功
5.使用哥斯拉测试连接,连接成功