对于反序列化漏洞,如果获得的是系统权限或者root权限,那就没必要上传木马,但如果只是web安装应用的权限,就上传获取更大权限。
上传需要找到几个点,获取物理路径,如下面三种:
方法1:把shell写到控制台images目录中
\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp目录上传木马,
访问http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp
方法2:写到uddiexplorer目录中
\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\随机字符\war\shell.jsp目录写入木马,
访问http://*.*.*.*:7001/uddiexplorer/shell.jsp
方法3:在应用安装目录中
\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp目录写入木马,
访问http://*.*.*.*:7001/项目名/shell.jsp