tomcat 后台部署 war 包 getshell

.Ayang2024-11-23 18:20

1. tomcat 后台部署 war 包 getshell

首先进入该漏洞的文件目录

使用docker启动靶场环境

查看端口的开放情况

访问靶场:192.168.187.135:8080

访问靶机地址 http://192.168.187.135:8080/manager/html Tomcat 默认页面登录管理就在 manager/html 下,使用弱口令 tomcat/tomcat 直接登录到后台

找到上传 war 包的上传点

上传部署制作好的 war 包

上传后可以进入看到上传的war包

由于自动解压后是一个文件夹,所以木马的位置应是shell_uni/shell_uni.jsp

使用冰蝎尝试连接

连接成功

相关推荐
胡小禾3 分钟前
企业内部文件处理方案
java
FeelTouch Labs30 分钟前
开源安全治理体系建设
安全·开源
常利兵38 分钟前
Spring Boot:别再重复造轮子,这些内置功能香麻了
java·spring boot·后端
一拳一个娘娘腔1 小时前
内网权限维持实战体系:从单机寄生到域控信任链的深度解析
网络·安全·信任链
咸鱼翻身小阿橙1 小时前
Qt QML调用C++注册类
java·c++·qt
逸Y 仙X1 小时前
文章二十一:ElasticSearch 词项查询与调度查询实战
java·大数据·数据库·elasticsearch·搜索引擎
Bechamz1 小时前
大数据开发学习Day25
java·大数据·学习
qq 13740186112 小时前
GB/T 19450-2004 纸基平托盘 安全检测 + 质量检测全流程实操指南
功能测试·安全·可用性测试·安全性测试
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08几个好用的ip纯净度检测网站09CC-Switch & Claude 基于 Linux 服务器安装使用指南10CVE-2026-31431 (Copy Fail) 漏洞复现与验证记录