鬼仔's Blog

作者:sai52[B.H.S.T]
blog:www.sai52.com

前言：

如果新手朋友不知道什么是Struts，可以参见文章 《入侵基于java Struts的JSP网站》
(http://www.sai52.com/archives/647/)。
# 鬼仔：本站的地址 http://huaidan.org/archives/2615.html
《入侵基于java Struts的JSP网站》是好友skyfire所作，被一些大的网站转载，却都没有写上作者名字，请允许我在这里鄙视一下他们。

正文：

给朋友帮忙检测一个jsp的站点，mysql数据库。已知存在注入点，用order by 猜出了字段是15个，其他就什么有用的信息都没暴出来。union查询的时候，字段数正确但不显示正常画面。
阅读全文 »

作者：skyfire[B.H.S.T]

入侵要点:

找到注入点
暴露网站页面绝对路径
利用mysql的load_file()读取网站配置信息找到管理后台
上传webshell

了解一下 Struts和.do :

首先了解一下什么是Struts。Struts是Apache基金会Jakarta项目组的一个Open Source项目，是一种优秀的J2EE MVC架构方式，它利用taglib获得可重用代码和抽象 Java 代码，利用ActionServlet配合Struts-config.xml实现对整个系统导航。增强了开发人员对系统的整体把握，提高了系统的可维护 性和可扩充性。
阅读全文 »