Tomcat上传jsp木马

一、暴力破解

首先我们访问目标IP和端口

点击server status登录,直接burp进行爆破

我们输入tomcat 123 抓包,发现这个Basic是base64编码后的,解码是 tomcat:123

我们暴破时需要注意这里用的base64构成的,具体操作可以看http://t.csdnimg.cn/yF6xW

解码之后就能进去了。

二、制作JSP木马

点击应用程序列表,发现文件上传点。

使用哥斯拉制作JSP木马:

首先运行哥斯拉 java -jar Godzilla.jar

点击 管理-->生成

注意保存时命名一定要写上.jsp,否则不生效

我在linux上面将这个jsp文件转成war文件,当然在windows也可以制作。前提是需要java环境,注意命令的名称顺序。

复制代码
root@hcss-ecs-4ab6:/home# jar cvf test.war test.jsp
added manifest
adding: test.jsp(in = 2617) (out= 916)(deflated 64%)

将test.war上传到tomcat下面,访问http://ip:8081/test/test.jsp,若显示能访问的到,即可连接哥斯拉。

然后切换目录到根目录下,可以直接看到flag等敏感信息。

相关推荐
ton_tom40 分钟前
设备驱动程序编程-Linux2.6.10-kdb安装-32位
linux·运维·服务器
坐望云起1 小时前
FFmpeg.wasm 纯浏览器端视频压缩与格式转换实战:零服务器、零上传、100% 隐私
服务器·ffmpeg·wasm
志栋智能2 小时前
超自动化安全如何优化安全运营成本?
人工智能·安全·自动化
cft56200_ln2 小时前
gPTP Master 报文目的 MAC 地址
运维·服务器·网络
jieyucx3 小时前
【系统安全铁律】解密 Linux 权限三色数字密码:chmod 最小化赋权与生产环境避坑指南
linux·安全·系统安全·权限·chmod·777
HackTwoHub4 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
山东穆柯传感器4 小时前
车间安监验收不通过?安全地毯选对厂家一次达标
安全
Kyrie6784 小时前
OpenSSH 10.4 发布:后量子签名时代来临
安全
IVVi0jToe5 小时前
高效C++线程池设计与实现
java·c++·安全
白白白飘5 小时前
【8】补充与拓展:Langchain的联网搜索Agent,使用Tavily工具
服务器·网络·langchain