J2ee web渗透

韩小末

J2EE的WEB，都有一个WEB-INF的目录，这个目录下有所有的WEB配置文件，数据库配置文件和java二进制文件class文件。有很多站因为配置错误或者是默认配置，导致WEB-INF目录可浏览。通常一些J2EE WEB平台还有些通用的限制绕过漏洞
/WEB-INF../ /WEB-INF..%5C

J2EE的程序访问是通过配置文件里的路径设定实现的，"/xxx.do",并不代表目录下有xxx.do这个文件。

JSP的注射，现在已经有些工具可以实现，手工就没必要介绍了。但jsp有一些通用的源码泄露漏洞（一些流行的JSP WEB平台现在已经没这些漏洞了，低版本的还是有。如果看到是些不常见的JSP服务器，可以试一下）

.jsP .Jsp .jSp .JSP .jsp%2e .jsp%20 .jsp%80 .jsp%81.....jsp%89

关于HTTP访问和SSL访问差异，在有些情况下，WWW和SSL对WEB的访问，采取的是不同的配置。比如WEB-INF目录，在WWW的情况下是限制浏览。但在SSL的情况下就是可以浏览的。要区分对待。

TOMCAT服务器很容易出现默认配置。但因为发布版本的不同，默认密码很可能不一样。所以很多人试验了admin,admin就不试了。可以试下，user:admin password:null user:admin password:password user:admin password:admin123

/manager目录是TOMCAT的配置管理目录，有时候直接访问/manager可能显示没有这个目录，可以试验下/manager/list进行确定。manager可以利用它来上传部署JSPSHELL，war文件制作可以直接用标准zip打包，然后把后缀直接改成.war

class文件需要进行反编译，才能看到源码。这个可以去看雪那里下载