Tomcat 漏洞

养只小羊72024-08-13 22:48

1.CVE-2017-12615

抓包,将get改为put

jsp文件后加/

访问木马使用蚁剑连接

2.弱口令

点击后输入默认用户名、密码:tomcat/tomcat

登录成功,在文件上传位置上传war包

使用哥斯拉生成一个jsp木马,打包,改后缀为war,上传

访问99/99.jsp

上传成功,连接

3.CVE-2020-1938

访问网址

在kali中使用(AJP协议8009端口开启)

python2 '/home/kali/Desktop/CVE-2020-1938-master/CVE-2020-1938.py' -p 8009 -f/WEB-INF/web.xml IP

读取到这个文件的内容

相关推荐
HackTwoHub1 小时前
最新Nessus2026.6.8版本主机漏洞扫描/探测工具Windows/Linux
linux·运维·服务器·安全·web安全·网络安全·安全架构
NOVAnet20231 小时前
SASE 透明模式实战场景:网络加固、业务上云与合规体系落地实践
web安全·零信任·sd-wan·sase·分布式组网
QWEDDRFTG2 小时前
C13/C19怎么选?服务器电源线电流与接口选型技巧
服务器
云栖梦泽在3 小时前
AI安全专项:AI人脸识别的安全风险与防护
人工智能·安全
QWEDDRFTG4 小时前
服务器电源线怎么选?接口、电流、线径、认证一次讲清
服务器
QYR-分析4 小时前
智能周界监控系统:构筑数字时代立体化安全防线
安全
HavenlonLabs5 小时前
硬件 + SaaS 产品的工程化路径:从系统架构、PCB 设计到工程样机
网络·安全·架构·系统架构·安全架构
米小虾5 小时前
AI 安全攻防 2026:从对抗样本到 Agent 安全,开发者必须面对的五道防线
人工智能·安全
Gzb11287 小时前
博客迁移声明
安全
漫途科技8 小时前
精准盯防危房隐患,智守人居安全|MTB46-4-2A 4G数据采集终端专项应用方案
网络·安全
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06Codex 下载安装指南:Windows 和 macOS 官方版下载072026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】