Tomcat 漏洞

养只小羊72024-08-13 22:48

1.CVE-2017-12615

抓包,将get改为put

jsp文件后加/

访问木马使用蚁剑连接

2.弱口令

点击后输入默认用户名、密码:tomcat/tomcat

登录成功,在文件上传位置上传war包

使用哥斯拉生成一个jsp木马,打包,改后缀为war,上传

访问99/99.jsp

上传成功,连接

3.CVE-2020-1938

访问网址

在kali中使用(AJP协议8009端口开启)

python2 '/home/kali/Desktop/CVE-2020-1938-master/CVE-2020-1938.py' -p 8009 -f/WEB-INF/web.xml IP

读取到这个文件的内容

相关推荐
ZZZKKKRTSAE1 小时前
快速上手Linux全局搜索正则表达式(grep)
linux·服务器·正则表达式
有谁看见我的剑了?1 小时前
stress 服务器压力测试的工具学习
服务器·学习·压力测试
有谁看见我的剑了?1 小时前
stress-ng 服务器压力测试的工具学习
服务器·学习·压力测试
珹洺2 小时前
数据库系统概论(十七)超详细讲解数据库规范化与五大范式(从函数依赖到多值依赖,再到五大范式,附带例题,表格,知识图谱对比带你一步步掌握)
java·数据库·sql·安全·oracle
网安INF2 小时前
CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)
java·web安全·网络安全·kafka·漏洞·jndi注入
余厌厌厌2 小时前
go语言学习 第9章:映射(Map)
服务器·学习·golang
waving-black2 小时前
利用frp和腾讯云服务器将内网暴露至外网(内网穿透)
linux·服务器·腾讯云·frp·内网穿透
stormsha3 小时前
Linux中su与sudo命令的区别:权限管理的关键差异解析
linux·运维·服务器·鸿蒙系统·ux·batch命令
恰薯条的屑海鸥3 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十期-Over Permission 模块)
学习·安全·web安全·渗透测试·网络安全学习
21号 17 小时前
9.进程间通信
linux·运维·服务器
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07海康Visionmaster-常见问题排查方法-启动阶段08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10神经网络架构KAN确实具有一些独特的特点及底层原理和应用场景