记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Hacking JasperReports:隐藏的SHELL特征

前言 不久前,我的同事跟我在对一个客户端进行渗透测试。我们确实发现的一件事是,他们留下了几个联网JasperReports服务器。寻找默认管理帐户的用户名并没有花费太多的精力。 也没有用多久我们就猜解出密码是“jasperadmin” 我从前听过JasperReports但从来没有碰到过要对它进行渗透测试。一个快速的google搜索也没有对前期工作产生多大的作用。尽管这个管理界面很不常见但是它也没有摆脱以某种方式来执行代码,所以顺利成章的我们开始在渗透旅程中把JasperReports渗透测试添加进“容易成功”的列表。 代码和小脚本 JasperReports的目的是提取数据从各种各样的来源,例如:databases, xml, flat files等等,并且基于用户定义的模板用某种方式生成一份漂亮的报告。模
发布时间:2016-10-18 07:05 | 阅读:120929 | 评论:0 | 标签:Web安全 JasperReports JRXML 反弹shell 恶意脚本 隐藏Shell特征

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云