你有你的路,我有我的路。至于适当的路,正确的路和唯一的路,这样的路并不存在。——尼采
漏洞描述由于管理员的疏忽,导致weblogic后台管理页面为默认密码或者是弱口令,使得不怀好意的人可以通过破解直接进入后台管理页面。
环境搭建weblogic使用vulhub搭建
用户名:weblogic
密码:aR3ewO0x
漏洞复现访问登录页面,登录进入后台管理页面
点击部署->安装
本地制作恶意war包
点击 上载文件 进行上传
选择制作好的war包
点击下一步,到此点击 将此部署安装为应用程序,下一步
访问脚本文件路径的上层路径,点击完成。
访问url
http://192.168.37.128:7001/1/JspSpy.jsp
漏洞复现完成
修复意见修复后台若口令密码,修改默认密码。
