Tomcat上传jsp木马

一、暴力破解

首先我们访问目标IP和端口

点击server status登录,直接burp进行爆破

我们输入tomcat 123 抓包,发现这个Basic是base64编码后的,解码是 tomcat:123

我们暴破时需要注意这里用的base64构成的,具体操作可以看http://t.csdnimg.cn/yF6xW

解码之后就能进去了。

二、制作JSP木马

点击应用程序列表,发现文件上传点。

使用哥斯拉制作JSP木马:

首先运行哥斯拉 java -jar Godzilla.jar

点击 管理-->生成

注意保存时命名一定要写上.jsp,否则不生效

我在linux上面将这个jsp文件转成war文件,当然在windows也可以制作。前提是需要java环境,注意命令的名称顺序。

复制代码
root@hcss-ecs-4ab6:/home# jar cvf test.war test.jsp
added manifest
adding: test.jsp(in = 2617) (out= 916)(deflated 64%)

将test.war上传到tomcat下面,访问http://ip:8081/test/test.jsp,若显示能访问的到,即可连接哥斯拉。

然后切换目录到根目录下,可以直接看到flag等敏感信息。

相关推荐
独守一片天20 分钟前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos
C+-C资深大佬32 分钟前
python while循环
服务器·开发语言·python
Tian_Hang33 分钟前
eclipse ditto 学习笔记
运维·服务器·开发语言·javascript·3d
iCxhust1 小时前
linux目录是否保存在硬盘 启动后读入解析的
linux·运维·服务器
懒鸟一枚1 小时前
Linux 系统 Service 服务配置详解
linux·服务器·网络
敖行客 Allthinker1 小时前
企业级多台服务器组装 K3s 高性能集群实战指南
运维·服务器·团队开发
m0_737302582 小时前
OpenClaw:赋予大模型执行能力的开源本地 AI 智能体
服务器
想你依然心痛2 小时前
嵌入式C代码规范:MISRA-C 2012核心规则解读——类型安全与未定义行为深度剖析
c语言·安全·代码规范
Web极客码2 小时前
在WordPress Multisite中添加超级管理员用户
服务器·php·网站
Elastic 中国社区官方博客3 小时前
跟踪资金流向:使用 ES|QL 和跨集群搜索追踪洗钱网络
大数据·人工智能·安全·elasticsearch·搜索引擎·金融·全文检索