中间件漏洞
Apache Tomcat 常见漏洞
Apache Tomcat
漏洞
1、/manager/html 管理后台弱口令
/manager/html 管理界面 后台弱口令
使用用户名、密码字典暴力破解http基础认证
登陆后台上传war包 getwebshell 将webshell .jsp文件zip压缩成index.war上传 点击部署
2、Tomcat配置文件
安装目录下/conf/tomcat-users.xml<role rolename="tomcat"/> <role rolename="role1"/> <role rolename="manager"/> <role rolename="manager-gui"/> <role rolename="admin"/> <role rolename="admin-gui"/> <role rolename="manager-script"/> <role rolename="manager-jmx"/> <role rolename="manager-status"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> <user username="admin" password="admin" roles="tomcat,role1"/> <user username="tomcat" password="" roles="manager-gui"/> <user