vulhub之tomcat弱口令+部署war包GetShell

最新推荐文章于 2024-06-19 23:40:13 发布
最新推荐文章于 2024-06-19 23:40:13 发布
阅读量577 收藏 1
点赞数
文章标签: java 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lionwerson/article/details/115434095
版权

1.拉取靶场镜像,打开靶场

2.登陆抓包进行爆破,设置一个位置,然后选择类型为custom iterator,然后在下面payload选项中选择三个位置,然后增加编码的方式,最后一定要取消勾选,在选项最下面的url编码特殊字符,否则就算爆出了弱口令也无法显示成功。

 

如果勾选了url编码特殊字符就会让生成的base64编码的结尾的等号被url编码,即使看到的payload正确,但是请求不正确,所以显示不成功。

密码是tomcat,用户名也是。

3.进入后台上传文件,然后getshell

先打包war文件,需要jdk环境。

上传war文件

上传之后会自动的解压war文件shell.jsp就在war文件名的文件夹下面,直接连接getshell就可以了,这里仍然需要jdk11环境。

 

参考连接

https://blog.csdn.net/weixin_41598660/article/details/107443373

 

lionwerson
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat页面口令war上传Getshell
来到了学渣的博客
07-19 3005
思路 burpsuit对tomcat进行口令爆破→利用口令进入tomcat管理页面→制作war上传getshellvulhub路径/vulhub/tomcat/tomcat8中启动tomcat环境 Tomcat默认页面登录管理在manager/html路径下 启动burpsuit抓进行口令爆破 对Basic后面那一段base64进行解码发现是这样的一个格式 账号:密码 发送至爆破处 然后再选择encode编码 阿里云搭建漏洞环境跑爆破居然会ban掉自己ip。。。只能从虚拟机来
【Vulfocus靶场-初级】Tomcat后台口令+War文件上传Getshell漏洞复现
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-26 3477
Vulfocus靶场漏洞,Tomcat后台口令War文件上传Getshell漏洞复现,利用冰蝎/哥斯拉进一步方便命令执行,获得flag并提交,通过tomcat靶场。
CVE-2024-1938 Vulhub复现之Tomcat文件含漏洞复现_vulhubtomcat
最新发布
2401_84263282的博客
06-19 1164
漏洞编号:CVE-2020-1938、CNVD-2020-10487漏洞描述:Apache Tomcat文件含漏洞是由Tomcat AJP协议存在缺陷而导致,可利用该漏洞通过构造特定参数进行文件含操作,进而读取受影响Tomcat服务器上的Web应用目录下的任意文件,如配置文件或源代码等。此外,如果目标应用有文件上传功能,攻击者还可以利用这个漏洞配合文件含来实现远程代码执行,从而控制整个系统。影响范围: Apache Tomcat 6风险评估:高危。
src挖掘之Tomcat未授权口令+war后门上传
huangyongkang666的博客
07-18 3371
高危src挖掘
漏洞复现(vulhub tomcat口令漏洞)
qq_53409748的博客
02-16 737
vulhub上的tomcat口令漏洞
Vulhub Tomcat口令getshell漏洞复现
W小哥
05-26 1486
一、漏洞描述 若空灵 二、漏洞原理 Tomcat支持通过后端部署war文件,因此我们可以直接将webshel​​l放置在web目录中。为了访问后端,需要权限。 后台管理 manager-gui (permission of html pages) manager-status (permission to view status) manager-script (permission of text interface and the status permission) manager-jmx (jmx
Tomcat部署多个war的方法步骤
09-29
主要介绍了Tomcat部署多个war的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Tomcat口令扫描的工具.zip
03-31
Tomcat口令扫描工具,可自己写字典进行爆破。
SpringBoot应用War形式部署到外部Tomcat的方法
08-27
SpringBoot应用War形式部署到外部Tomcat的方法 SpringBoot应用War形式部署到外部Tomcat是指将SpringBoot应用程序部署到外部Tomcat服务器中,而不是使用SpringBoot的嵌入式Tomcat服务器。这个方法可以让开发者更...
SpringBoot war部署Tomcat服务器
08-27
SpringBoot war部署Tomcat服务器 作为一个专业的IT行业大师,我将为您详细介绍如何将SpringBoot war部署Tomcat服务器。 首先,我们需要了解什么是warwar是Web应用程序存档文件的扩展名,用于存储Web...
springboot使用war部署到外部tomcat过程解析
08-25
当项目需要在生产环境中部署时,有时我们会选择将Spring Boot应用打WAR文件,然后将其部署到外部的Tomcat服务器上。下面将详细介绍这个过程。 首先,Spring Boot默认被打为可执行JAR文件,它含了内嵌的...
tomcat漏洞之任意文件上传(CVE-2017-12615)
weixin_53711701的博客
12-24 2930
tomcat漏洞之任意文件上传(CVE-2017-12615)
Apache Tomcat任意文件上传漏洞(CVE-2017-12615)
ran的博客
01-31 2064
Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传含任意代码的 JSP 文件,并且能被服务器执行。2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616。漏洞影响:上传含任意代码的文件,并且能被服务器执行。放后再次访问“1.jsp”,发现存在了。
tomcat 口令tomcat8】
向安全进发的博客
04-20 741
Tomcat支持后台部署War文件,默认情况下管理页面仅允许本地访问。 攻击条件:如果网站运维/开发人员手动修改配置文件中的信息允许远程IP进行访问(需求),且恶意攻击者拿到管理界面账户密码情况下,则可上传木马文件,控制系统。==
中间件安全—Tomcat常见漏洞
Karka_的博客
04-03 1220
链接。
vulhub靶场-tomcat漏洞复现
m0_62008601的博客
07-23 1348
tomcat漏洞复现合集
Vulhub - Tomcat8 + 口令 && 后台getshell 漏洞复现
多崎巡礼的博客
11-08 7345
VulHubTomcat8+ 口令 && 后台getshell 漏洞环境实验 1.启动docker镜像 docker基于Ubuntu 已搭建完成。 拉取项目git clone https://github.com/vulhub/vulhub.git 进入镜像:cd vulhub/tomcat/tomcat8/ 启动环境:docker-compose up -d 2.登录tomca...
Tomcat口令利用及防范
我还在的博客
10-24 6595
Tomcat口令利用及防范0x00 前言0x01 环境拓扑0x02 攻击过程 0x00 前言 Apache+Tomcat是很常用的网站解决方案,Apache用于提供web服务,而Tomcat是Apache服务器的扩展,用于运行jsp页面和servlet。Tomcat有一个管理后台,其用户名和密码在Tomcat安装目录下的conf\tomcat-users.xml文件中配置,不少管理员为了方便,经...
Tomcat任意文件上传CVE-2017-12615漏洞JSP利用脚本
zhlhely的博客
09-27 581
#! -*- coding:utf-8 -*- import requests import sys body = ''' <%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%> <%!public static String excuteCmd(String c) { StringBuilder line = new StringBuilder(); try...
tomcat怎么部署war
05-28
Tomcat是一个开源的Web应用服务器,可以通过部署WAR来进行Web应用的部署。下面是Tomcat部署WAR的步骤: 1.将WAR放入Tomcat的webapps目录中。 2.启动Tomcat服务器。 3.等待Tomcat解压WAR部署应用。 4.在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值