Tomcat 漏洞

养只小羊72024-08-13 22:48

1.CVE-2017-12615

抓包,将get改为put

jsp文件后加/

访问木马使用蚁剑连接

2.弱口令

点击后输入默认用户名、密码:tomcat/tomcat

登录成功,在文件上传位置上传war包

使用哥斯拉生成一个jsp木马,打包,改后缀为war,上传

访问99/99.jsp

上传成功,连接

3.CVE-2020-1938

访问网址

在kali中使用(AJP协议8009端口开启)

python2 '/home/kali/Desktop/CVE-2020-1938-master/CVE-2020-1938.py' -p 8009 -f/WEB-INF/web.xml IP

读取到这个文件的内容

相关推荐
天若有情6738 分钟前
新闻通稿 | 软件产业迈入“智能重构”新纪元:自主进化、人机共生与责任挑战并存
服务器·前端·后端·重构·开发·资讯·新闻
冬夜戏雪32 分钟前
【尚庭公寓152-157】[第6天]【配置阿里云号码认证服务】
运维·服务器
No Big Deal2 小时前
ctfshow-_Web应用安全与防护-Base64多层嵌套解码
安全
Y淑滢潇潇2 小时前
RHCE Day3 DNS服务器
运维·服务器
Oxo Security2 小时前
【AI安全】检索增强生成(RAG)
人工智能·安全·网络安全·ai
How_doyou_do2 小时前
模态框的两种管理思路
java·服务器·前端
vvw&3 小时前
如何在 Ubuntu 上安装 PostgreSQL
linux·运维·服务器·数据库·ubuntu·postgresql
2301_795167203 小时前
玩转Rust高级应用 如何让让运算符支持自定义类型,通过运算符重载的方式是针对自定义类型吗?
开发语言·后端·算法·安全·rust
程序猿追4 小时前
异腾910B NPU实战:vLLM模型深度测评与部署指南
运维·服务器·人工智能·机器学习·架构
看我干嘛!4 小时前
GME 和MGRE综合实验
运维·服务器·网络
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07jdk21下载、安装(Windows、Linux、macOS)08《大数据技术原理与应用》实验报告三 熟悉HBase常用操作09PyCharm 社区版全平台安装指南10npm使用国内淘宝镜像的方法