 |
Tomcat漏洞利用 |
|
|
| Tomcat漏洞利用 |
|
| 作者:未知 文章来源:361技术 点击数: 更新时间:2007-9-4 1:09:19 |
|
有些Tomcat安装之后没有修改默认密码(用户名admin,密码为空),这样就可以直接登录进去。有两个目录可以访问:/admin/manager/html /admin 目录下的利用:Service--host--actions--Create New Context建立虚拟目录Document Base填你想浏览的目录,比如c:\,Path自己随便写,例如/guizai然后直接http://ip/guizai 就可以看到c盘内容。 /manager/html 目录下的利用: 这里可以直接上传一个war文件(用于远程管理tomcat服务的脚本文件),来自动建立虚拟目录,因此你可以将你的jsp马用ant打包到war里面,然后上传之后,访问这个虚拟目录下你的jsp马就OK了。以前我遇到过这种情况,但是用ant打了半天也没弄成功,最后google到一篇文章,文章名我忘了,作者是hyouhaku,当时他文章里说他打包好一个,并且在文章附件里提供了,但是那个附件链接失效了,我就又加他QQ,要过来了这个文件。 昨天在neeao那里看到“tomcat得到管理权限后的利用”又让我想起来了这个东西,neeao那里也发了一个war文件,这里我都发出来。job.war.rarno.war.rar 下载之后可以用winrar打开,里面的index.jsp是一个jsp马,你可以替换成你自己的。注意:上传执行之前一定要将后缀名改为.war才行。job.war上传执行之后直接访问 http://ip/job 或者 http://ip/job/index.jsp 即可。no.war上传执行之后直接访问 http://ip/no 或者 http://ip/no/index.jsp 即可。
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: Oracle 8 严重漏洞
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
