中间件漏洞-Tomcat篇

一:CVE-2017-12615

1.搭建服务
cd /www/wwwroot/vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d

2.打开网页

3.在哥斯拉中生成jsp木马并保存为2.jpg

对当前页面进行抓包,修改提交方式为PUT并复制木马

4.在网页中访问我们生成的木马,发现可以访问到

5.复制木马绝对路径,到哥斯拉中测试连接

连接成功!!

二.后台弱⼝令部署war包

1.搭建服务

cd vulhub-master/tomcat/tomcat8
docker-compose up -d

2.访问网站

3.使用弱口令登录进入
默认密码:tomcat/tomcat

4.将我们存有jsp木马的2.jsp文件压缩为zip文件然后修改后缀名为war文件

并上传文件

5.我们在目录中可以看到我们上传的文件

说明上传成功了

6.现在我们访问一下我们的jsp文件

访问成功,尝试连接webshell

7.连接成功!!!

三 .CVE-2020-1938

1.搭建服务
cd /www/wwwroot/vulhub-master/tomcat/CVE-2020-1938
docker-compose up -d
并访问

2.在kali中输入命令进行连接
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 47.108.150.249

相关推荐
cfm_291430 分钟前
Spring监听器
java·spring boot·后端
SamDeepThinking38 分钟前
Java面向对象在JVM里怎么实现
java·后端·面试
Sagittarius_A*1 小时前
Web 渗透实战:服务器系统识别、端口与中间件全量探测
服务器·网络安全·中间件·渗透测试
咸鱼翻身小阿橙2 小时前
多线程解析
java·开发语言
一枚码农出身的猎头2 小时前
岗位招聘:架构师,base湖南长沙,70-80w
java·架构
tachibana23 小时前
hot100 课程表(207)
java·数据结构·算法·leetcode
神仙别闹3 小时前
编写基于C++ Huffman 算法的无损压缩程序和解压程序
java·c++·算法
IT乐手3 小时前
Android 写本地日志工具类
android·java
阿维的博客日记3 小时前
spring里面的@RequestParam什么意思
java·后端·spring
laowangpython3 小时前
昆仑通态 Mcgs Pro软件安装步骤(附安装包)Mcgs Pro 3.3.6 下载安装教程(保姆级)
java·服务器·数据库·其他