web渗透测试8
一、实验要求
1、进入靶机上的DVWA站点命令执行页面;
2、通过DVWA了解远程命令执行的原理;
3、00通过互联网搜索Struts2漏洞, 并搭建相关实验环境;
4、通过jexboss-master或K8_ Struts2_ EXP等I具对有Struts2漏洞的主机执行
渗透,拿下shell权限;
5、将最终实验效果截图上传到答案区。
二、实验流程
实验环境:
tomcat 7
windows10
struts2-045
1.安装tomcat,在bin目录下开启tomcat服务。
2.输入127.0.0.1:8080出现一下界面表示安装成功。
3.通过https://github.com/vulhub/vulhub/tree/master/struts2下载漏洞环境(本次漏洞环境以S2-045为例);将下载好的漏洞环境,凡在webapps目录下,启动服务是会自动部署。
4.浏览器输入http://127.0.0.1:8080/S2-045/index.action(S2-045漏洞)表述漏洞部署成功。
5.使用k8飞刀得到shell,输入url后便可以远程命令执行。