Tomcat上传jsp木马

一、暴力破解

首先我们访问目标IP和端口

点击server status登录,直接burp进行爆破

我们输入tomcat 123 抓包,发现这个Basic是base64编码后的,解码是 tomcat:123

我们暴破时需要注意这里用的base64构成的,具体操作可以看http://t.csdnimg.cn/yF6xW

解码之后就能进去了。

二、制作JSP木马

点击应用程序列表,发现文件上传点。

使用哥斯拉制作JSP木马:

首先运行哥斯拉 java -jar Godzilla.jar

点击 管理-->生成

注意保存时命名一定要写上.jsp,否则不生效

我在linux上面将这个jsp文件转成war文件,当然在windows也可以制作。前提是需要java环境,注意命令的名称顺序。

复制代码
root@hcss-ecs-4ab6:/home# jar cvf test.war test.jsp
added manifest
adding: test.jsp(in = 2617) (out= 916)(deflated 64%)

将test.war上传到tomcat下面,访问http://ip:8081/test/test.jsp,若显示能访问的到,即可连接哥斯拉。

然后切换目录到根目录下,可以直接看到flag等敏感信息。

相关推荐
ZeroNews内网穿透32 分钟前
服装零售企业跨区域运营难题破解方案
java·大数据·运维·服务器·数据库·tcp/ip·零售
神的孩子都在歌唱1 小时前
常见的网络攻击方式及防御措施
运维·服务器·网络
深度学习04071 小时前
【Linux服务器】-安装ftp与sftp服务
linux·运维·服务器
亿.62 小时前
【Java安全】RMI基础
java·安全·ctf·rmi
阿巴~阿巴~3 小时前
Linux 第一个系统程序 - 进度条
linux·服务器·bash
我科绝伦(Huanhuan Zhou)4 小时前
华为泰山服务器重启后出现 XFS 文件系统磁盘“不识别”(无法挂载或访问),但挂载点目录仍在且无数据
运维·服务器·华为
weixin_472339464 小时前
网络安全之XSS漏洞:原理、危害与防御实践
安全·web安全·xss
望获linux5 小时前
【Linux基础知识系列】第四十三篇 - 基础正则表达式与 grep/sed
linux·运维·服务器·开发语言·前端·操作系统·嵌入式软件
网硕互联的小客服7 小时前
服务器经常出现蓝屏是什么原因导致的?如何排查和修复?
运维·服务器·stm32·单片机·网络安全
witton7 小时前
Go语言网络游戏服务器模块化编程
服务器·开发语言·游戏·golang·origin·模块化·耦合