tomcat-pass-getshell 弱口令

于 2024-07-16 11:33:30 发布
阅读量187 收藏
点赞数 2
分类专栏: # 文件上传 文章标签: tomcat java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23003811/article/details/140461387
版权

一、漏洞概述

通过弱口令登录后台,部署war包getshell‍,登录之后 上传一个war压缩包,先用哥斯拉生成一个jsp文件,然后压缩一下,把压缩包后缀改成war。然后在目录那里访问这个压缩包里面的jsp文件,如果正常访问,那么这个jsp文件就可以被哥斯拉连接。

二、影响范围

无视版本

三、漏洞复现

1、访问页面,点击Manager App进行登录

2、输入弱口令tomcat/tomcat 登录成功(可以爆破)。

3、使用哥斯拉生成jsp木马1.jsp,压缩后重命令为war格式上传。

4、访问地址无报错,说明上传成功。

http://123.58.224.8:17709/1/1.jsp

5、使用哥斯拉进行连接。

四、漏洞利用

1、fofa:app="tomcat"

风中追风-fzzf
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Vulfocus解题复现】tomcat-pass-getshell 弱口令
温氏效应
11-15 3781
漏洞介绍 名称:Tomcat-pass-getshell 弱口令 描述:Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。 通过弱口令登录后台,部署war包geshell 解题过程 1、打开靶场环境,并点击Manage App链接,通过弱口令登录平台,账号密码均为:tomcat 2、拖动页面,找到war上传区域,上传jsp木马: 制作jsp木马,.
tomcat-redis-session-manager
06-06
`tomcat-redis-session-manager`就是这样一款解决方案,它将Tomcat的session管理与Redis相结合,实现了跨服务器的session共享。 首先,让我们理解`tomcat-redis-session-manager`的核心概念。这是一个开源项目,它...
Tomcat-pass-getshell 弱口令
weixin_57567689的博客
10-19 396
Tomcat-pass-getshell 弱口令
VULFOCUS-tomcat-pass-getshell 弱口令
HAKUNAMATATATTA的博客
11-28 1488
VULFOCUS tomcat 弱口令靶场通关思路
tomcat-embed-el-9.0.16.jar
01-08
tomcat-embed-el-9.0.16.jar
apache-tomcat-8.0.41.zip
01-01
apache-tomcat-8.0.41 Web 服务器管理着 Web 应用程序,并提供 Web应用程序所需的一切资源。而 Tomcat 是一个免费的、开源的 Java Web 服务器,它已经实现了 Java EE 的各种规范。为了构建开发中小型的商业应用, ...
32位tomcat-7.0.55 工具下载
08-25
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat ...
tomcat-embed-core-9.0.16.jar
01-08
tomcat-embed-core-9.0.16.jar
Apache Tomcat后台弱口令扫描
12-11
Apache Tomcat后台弱口令扫描
Tomcat弱口令扫描器
05-08
弱口令扫描的工具有很多中,而在这其中,比较优秀的一款就是Tomcat,用起来很方便。希望上传给大家共享,也为了以后自己方便查找。
tomcat-pass-getshell tomcat弱口令getshell
king丶
09-02 983
tomcat-pass-getshell tomcat弱口令getshell http://ip:port/manager/html tomcat tomcat 弱口令 将jsp 文件压缩成zip 格式 在修改成war 如图 OK 完事
[Vulfocus解题系列]Tomcat-pass-getshell 弱口令
00勇士王子的博客
07-04 2536
漏洞介绍 名称:Tomcat-pass-getshell 弱口令   描述: Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。 通过弱口令登录后台,部署war包geshell 解题过程 1.打开题目环境 2.既然是弱口令,那首先要先尝试登陆,点击 Manager App 3.弹出登陆窗口 4.尝试弱口令tomcat/tomcat 5.登陆成功: 可以在上图
Tomcat-pass-getshell 弱口令 vulfocus夺旗
muhan的博客
04-16 3790
漏洞原因:后台登录使用弱口令,部署war包geshell 测试环境:Apache Tomcat/8.0.43 1、启动CVE-2017-12615目标靶场,并访问 默认账目密码:tomcat/tomcat 2、找到上传点进行上传war包 利用冰蝎的shell.jsp去生成war包 jar -cvf war.war "shell.jsp" 上传点进行上传 可以看到是否上传成功 3、无需访问木马文件,直接连冰蝎即可 http://123.58.236.76:24554/war/s
vulfcous学习-tomcat-pass-getshell 弱口令
qq_43332837的博客
07-20 366
vulfcous学习-tomcat-pass-getshell 弱口令 打开靶机地址 尝试登陆 manager APP后台 tomcat/tomcat 制作war包 将jsp大马压缩为zip再更改后缀为war 访问 靶机url/压缩文件名/大马文件名.jsp 输入密码进入文件系统 输入/tmp得到flag ...
tomcat-pass-getshell 弱口令 漏洞复现
XXokok的博客
11-26 464
tomcat-pass-getshell 弱口令 漏洞复现
tomcat-pass-getshell 弱口令 学习解题过程
weicanh的博客
04-19 354
tomcat-pass-getshell 弱口令 解题过程
Tomcat-pass-getshell弱口令漏洞复现
最新发布
hot_milk1的博客
02-20 423
1、开启环境,进入网站 2、点击Manager App,弱口令admin登录 3、登陆成功 4、制作jsp木马,下段jsp木马密码为:passwd,将下述代码保存为jsp格式,并将jsp格式文件打包压缩成为war文件格式进行上传。 5、/压缩包文件名/一句话木马.jsp 6、打开蚁剑,进行连接,连接成功! 7、查看主目录下的tmp文件,找到flag!
tomcat-embed
11-18
Tomcat-embed是一个嵌入式Tomcat容器,可以将Tomcat嵌入到Java应用程序中,以便在应用程序中运行Web应用程序。它可以通过Maven依赖项进行导入,如下所示: ```xml <dependencies> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> <version>9.0.38</version> </dependency> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-jasper</artifactId> <version>9.0.38</version> </dependency> </dependencies> ``` 使用Tomcat-embed可以轻松地将Web应用程序嵌入到Java应用程序中,而无需安装和配置独立的Tomcat服务器。此外,Tomcat-embed还提供了一些方便的API,可以用于配置和管理嵌入式Tomcat容器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值