Tomcat后台拿shell
在安装Tomcat时,有些用户可能会忽略更改默认密码,这就为潜在的安全风险敞开了大门。Tomcat有两个主要的管理目录,分别是/admin和/manager/html,它们各自有着不同的用途和潜在的安全漏洞。
关于/admin目录,通过此目录可以执行一些关键操作,比如通过Service-host-actions菜单下的Create New Context来建立虚拟目录。例如,如果你将Document Base设置为c:\(即你的电脑C盘),然后随意设置一个Path,比如/guizai,那么通过
再来看/manager/html目录。这个目录下可以上传war文件,这是一种用于远程管理Tomcat服务的脚件。你可以将自己的jsp马(一种常见的WebShell)用ant打包成war格式,上传后,通过访问这个虚拟目录下的jsp马来实现控制。不过需要注意的是,使用ant打包可能需要一些技巧和经验,因为我自己曾经遇到过困难,即使花费了很多时间也没能成功。幸运的是,我曾经找到过一个由hyouhaku提供的预打包的war文件,但其附件链接似乎已经失效。
近期,我在neeao处了解到“tomcat得到管理权限后的利用”,并且他也分享了一个war文件。我将其分享给大家,希望有所帮助。具体的文件包括:job.war.rar和no.war.rar。下载后,你可以用winrar打开它们,里面的index.jsp是一个已经准备好的jsp马,你也可以根据需要替换成自己的。但在上传执行之前,一定要记得将后缀名改为.war。例如,对于job.war,上传执行后可以通过 或者
最后提醒一下读者,无论使用何种方式操作Tomcat或其他服务器软件,安全始终是第一位的。建议安装后及时修改默认密码,并定期进行安全检查和更新,以避免潜在的安全风险。同时也要注意不要随意上传未知来源的文件或脚本,以免给自己带来不必要的麻烦。在这个信息化的时代里,"安全第一"的理念不容忽视。
网站模板
- Tomcat后台拿shell
- CSS教程之通用的css hack简介
- Windows如何显示和隐藏文件的扩展名(文件格式)
- AI怎么画曲线- ai画各种类型波浪线的教程
- win10鼠标滚动非活动窗口是什么?win10鼠标滚动非
- win10系统打开chrome主页会被hao123劫持的故障原因及
- DELL C640掉电维修实例
- win10系统修改电源设置提示某些设置由系统管理员
- 如何查询自己的ip地址 查询自己电脑的ip地址的方
- 免费利用 废月饼盒改装成笔记本散热垫
- 如何选择合适的网站域名呢-
- win10将于今年夏天全面上市 一年免费升级 此后终
- thinkpad笔记本触摸板怎么设置按键大小-
- 怎么看宽带是几兆?查看宽带是几兆方法
- cdr怎么制作羽化效果- cdr羽化效果的技巧
- 正确的空链接写法 防止点击后页面会跳动问题