作者:Kingcope Kingcope <kcope2_(at)_googlemail.com>
Sun One WebServer 6.1 JSP Source Viewing vulnerability
System: Sun-ONE-Web-Server/6.1, Windows Server 2003
SunOne WebServer (formerly Netscape Enterprise Server, iPlanet) on Windows Systems lets remote people disclose
JSP Source code.
阅读全文 »
Tags: Jsp,
Sun One WebServer,
Vulnerability
作者:sai52[B.H.S.T]
blog:www.sai52.com
前言:
如果新手朋友不知道什么是Struts,可以参见文章 《入侵基于java Struts的JSP网站》
(http://www.sai52.com/archives/647/)。
# 鬼仔:本站的地址 http://huaidan.org/archives/2615.html
《入侵基于java Struts的JSP网站》是好友skyfire所作,被一些大的网站转载,却都没有写上作者名字,请允许我在这里鄙视一下他们。
正文:
给朋友帮忙检测一个jsp的站点,mysql数据库。已知存在注入点,用order by 猜出了字段是15个,其他就什么有用的信息都没暴出来。union查询的时候,字段数正确但不显示正常画面。
阅读全文 »
Tags: JAVA,
Jsp,
Struts
作者:skyfire[B.H.S.T]
入侵要点:
找到注入点
暴露网站页面绝对路径
利用mysql的load_file()读取网站配置信息找到管理后台
上传webshell
了解一下 Struts和.do :
首先了解一下什么是Struts。Struts是Apache基金会Jakarta项目组的一个Open Source项目,是一种优秀的J2EE MVC架构方式,它利用taglib获得可重用代码和抽象 Java 代码,利用ActionServlet配合Struts-config.xml实现对整个系统导航。增强了开发人员对系统的整体把握,提高了系统的可维护 性和可扩充性。
阅读全文 »
Tags: JAVA,
Jsp,
Struts
鬼仔注:让浪子美化下,他竟然说管理员看到就不舒服了。
作者:空虚浪子心
看了就知道了,类似于查询分析器。
登录后可以执行一些语句,方便使用。
提交执行语句方面使用了AJAX。本地不会卡,在执行第一句的时候你可以直接再扔第二句上去。
搜集了两个EXP,oracle的。。。本来打算找更多,但是考虑到我比较懒。。。
阅读全文 »
Tags: Jsp,
Oracle
来源:King's Blog
<%@ page import="java.sql.*" contentType="text/html; charset=GBK"%>
<%@ page import="java.util.*"%>
<html>
<head>
<title>rootkit</title>
<script type="javascript">
var db = "master";
function getTables() {
window.open("<%=request.getRequestURL().toString()%>?action=getTables&db="+db,"","scrollbars=yes");
}
阅读全文 »
Tags: Jsp,
MSSQL
来源:無名氏
昨天叫LIVING帮忙扫描几个IP 覆盖全部端口~~~他老抱怨说XSCAN支持多核CPU不理想,整天出错!
我郁闷之下开发了个WEBSHELL上面扫描的程序,直接把IP 添加到作业系统那里~让服务器自动扫描!
即使我们关了浏览器…!我们过N天之后上去看看扫描结果就OK~~ 不用管它了 自己忙自己的事!….
平台兼容: RESIN TOMCAT WEBLOGIC WEBSPHERE JBOSS
程序未来展望:
开发对于数据库暴力破解 ,SSH暴力破解 , MD5暴力破解!多个WEBSHELL通讯进行分布式
代码: 阅读全文 »
Tags: Jsp
来源:http://www.icehack.com/
另存为jsp.htm,在本地即可利用!
阅读全文 »
Tags: Jsp