声明：文章中涉及的工具(方法)可能带有攻击性，仅供安全研究与教学使用，读者若做其他违法犯罪用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

0x01 弱口令

从返回值判断系统中是否存在该用户。

利用Burp Suite对用户名进行暴力破解

通过分析显示“用户名或密码错误”说明系统中存在该用户名只是密码错误而已。

利用系统说明中的初始密码进行登录“**********”。

为了证明漏洞存在这里使用用户名“lx”进行登录。

登录成功

发现该用户权限为普通用户，对管理员用户“admin”的口令进行暴力破解。

遍历password参数的值。

成功暴力破解出来管理员用户“admin”的口令。

0x02 任意文件读取漏洞

通过弱口令登录进系统之后点击"xx工作" 》"xx通知" 》找到带有附件的消息。

点击附件利用工具将数据包拦截，通过分析得到fileName为附件下载的路径，将fileName参数的值修改为“../../../../../../etc/passwd”即可读取服务器中的/etc/passwd文件。

将fileName参数的值替换为“../../../../../../etc/shadow”即可读取服务器中的/etc/shadow文件。

0x03 任意文件上传之Webshell木马

通过前期暴力破解漏洞登录进系统之后点击"xx工作"》"发送消息"》找到上传附件。

上传的附件内容为Webshell，服务器中的路径为"/home/xxxxxxxx/apache-tomcat-9.0.73/SharedFolders/xxxxxxxx/temp/a55949xxxxxxxxxxx5006e2.jsp"，web访问的路径为"http://xx.xx.xx.xx:8080/media/xxxxxxxx/temp/a55949xxxxxxxxxxx5006e2.jsp"

利用Webshell管理工具进行连接。

仅用于技术交流，请勿用于非法用途。

技术交流

    扫描下方二维码，并在验证信息中说明来意，文章仅供交流学习,本公众号不承担任何有关责任! 微信:SQL-Sec

原文始发于微信公众号（渗透测试）：【渗透实战】记一次授权的渗透测试