Tomcat 漏洞

养只小羊72024-08-13 22:48

1.CVE-2017-12615

抓包,将get改为put

jsp文件后加/

访问木马使用蚁剑连接

2.弱口令

点击后输入默认用户名、密码:tomcat/tomcat

登录成功,在文件上传位置上传war包

使用哥斯拉生成一个jsp木马,打包,改后缀为war,上传

访问99/99.jsp

上传成功,连接

3.CVE-2020-1938

访问网址

在kali中使用(AJP协议8009端口开启)

python2 '/home/kali/Desktop/CVE-2020-1938-master/CVE-2020-1938.py' -p 8009 -f/WEB-INF/web.xml IP

读取到这个文件的内容

相关推荐
檀越剑指大厂29 分钟前
【Linux系列】如何在 Linux 服务器上快速获取公网
linux·服务器·php
共享家952731 分钟前
linux-高级IO(上)
java·linux·服务器
HWL56792 小时前
“preinstall“: “npx only-allow pnpm“
运维·服务器·前端·javascript·vue.js
David WangYang3 小时前
基于 IOT 的安全系统,带有使用 ESP8266 的语音消息
物联网·安全·语音识别
合作小小程序员小小店3 小时前
SDN安全开发环境中常见的框架,工具,第三方库,mininet常见指令介绍
python·安全·生成对抗网络·网络安全·网络攻击模型
门前灯4 小时前
Linux系统之iprconfig 命令详解
linux·运维·服务器·iprconfig
忧郁的橙子.4 小时前
三、k8s 1.29 之 安装2
linux·运维·服务器
数据智能老司机4 小时前
实现逆向工程——汇编指令演练
安全·逆向·汇编语言
huangyuchi.5 小时前
【Linux系统】动静态库的制作
linux·运维·服务器·动态库·静态库·库的简单制作
闻不多5 小时前
用llamaindex搭建GAR遇到400
android·运维·服务器
热门推荐
01UV安装并设置国内源02【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04KGG转MP3工具|非KGM文件|解密音频052025最新国内服务器可用docker源仓库地址大全(2025年8月更新)06蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接07TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践08NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南09阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!10TRAE Rules 实践:为项目配置 6A 工作流