使用Metasploit爆破Tomcat密码
一. Apache Tomcat的简介
- Apache tomcat是世界上使用最广泛的java web应用服务器之一,绝大多数人都会使用tomcat的默认配置。默认配置中会有一个向外网开放的web应用管理器,管理员可以利用它在服务器中启动、停止、添加和删除应用。
- Tomcat是应用(Java)服务器,可以认为是Apache的扩展,但它可以独立于Apache运行,支持JSP和Servlet。Apache可以单向连接Tomcat,访问Tomcat资源,反之则不行,但它们可在一台服务器上进行集成。
- 人们通常将Apache和Tomcat集成到一起:如果客户端请求的是静态页面,则只需要Apache服务器响应请求;如果客户端请求动态页面,则是Tomcat服务器响应请求;因为jsp是服务器端解释代码的,这样整合就可以减少Tomcat的服务开销。
二. 实验环境配置
1.启动数据库服务并初始化
(1)启动postgreSQL的命令
service postgresql start
(2)创建并初始化数据库的命令
msfdb init
2.启动msf
(1)msfconsole的功能
- msfconsole是metasploit中的一个工具。
- msfconsole集成了很多漏洞的利用的脚本,并且使用起来很简单的网络安全工具。
- 在终端输入msfconsole命令即可进入msf的控制台,msf控制台集成了很多其他程序接口,例如nmap,sqlmap可以在msf控制台中使用。
(2)启动的命令
msfconsole