中间件安全之Tomcat

最新推荐文章于 2024-09-02 16:20:07 发布
最新推荐文章于 2024-09-02 16:20:07 发布
阅读量160 收藏
点赞数
分类专栏: 中间件 中间件安全 文章标签: 安全漏洞 安全 网络安全 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46085232/article/details/116653428
版权

中间件安全

Tomcat

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用 服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发
和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应 HTML ( 标准通用标记语言下的一个
应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当运行tomcat 时,它实际上作为一个与Apache 独立的进
程单独运行的。

配置安全

Tomcat弱口令Getshell

Tomcat存在后台管理,账号密码设置在conf/tomcat-users.xml,默认的账号密码为tomcat:tomcat。
利用默认口令后台之后(如果不知道账号密码,可进行爆破,注意这里的账号密码是在HTTP头传输,且通过base64加密),存在一个文件(war)上传点,可以获取到服务器权限。
在这里插入图片描述
在这里插入图片描述
这里演示一下一种getshell的方法
1.准备一个大马,将其压缩成zip格式,修改后缀名为war。
2.上传该war,成功上传。
在这里插入图片描述
在这里插入图片描述
3.访问后门地址,结果来了个500错误
在这里插入图片描述
4.换了个马,可以了
在这里插入图片描述

特定漏洞

PUT方法任意文件写入(CVE-2017-12615)

在这里插入图片描述

CVE-2019-0232

AJP任意文件读取/文件包含(CVE-2020-1938)

影响范围:
Apache Tomcat 6
Tomcat 7系列 <7.0.100
Tomcat 8系列 < 8.5.51
Tomcat 9 系列 <9.0.31
这里vulhub上没有这个演示靶场,就用下网上的真实环境,只做测试!!!
下面是这个漏洞的POC
https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read

危害

1.权限丢失
2.信息泄露

把小海蒂的名字还给我(师从小迪渗透)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat中间件安全与加固
旺仔Sec&blog
12-22 1110
任务四:tomcat中间件安全与加固 任务环境说明: 服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor 通过渗透机场景kali中的工具对web服务器进行扫描,浏览web服务器网页,在首页中找到tomcat服务版本号,并将其版本号作为flag提交; Flag:7.0.79 已知此版本的tomcat具有上传漏洞,即向页面提交发送请求就会生成对应的文件。利用Burp Suite工具进行抓包,
tomcat 查看控制台日志_中间件安全Tomcat 安全加固
weixin_39625258的博客
01-18 661
Tomcat介绍Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统被普遍使用,Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上是作为一个与Apache 一样独立的进程单独运行。Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器。Tomca...
Web中间件之Apache Tomcat
qq_52178795的博客
05-18 1368
中间件定义 中间件定义:中间件是一类连接软件组件和应用的计算机技软件,包括一组服务,以便运行在一台或多台机器上的多个软件进行交互。所提供互操作性,推动了分布式体系架构,该架构常用于支持并简化复杂的分布式应用程序,包括web服务器,事务监控器,消息队列软件 常见WEB中间件 开源web中间件 Apache httpd JBOSS Jetty JTomcat Nginx 商业web中间件 Websphere Weblo...
中间件安全Tomcat常见漏洞
ZL_1618的博客
06-24 704
链接。
中间件安全Tomcat 安全加固规范
12-14 6874
1. 适用情况 适用于使用Tomcat进行部署的Web网站。 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径: 方法一:开始-&gt;所有程序-&gt;Apache Tomcat-&gt;打开文件位...
TOMCAT 中间件安全加固
Python_0011的博客
05-03 349
对于一些常见的错误页面,我们可以在配置文件/etc/tomcat/web.xml中,重定向403、404以及500错误到指定页面。在这里插入图片描述我们现在在web.xml配置文件中加入error-page参数。在这里插入图片描述我们现在编辑我们的错误页面。该错误页默认放在我们webapps目录中。在这里插入图片描述这里是我们tomcat默认的页面所在位置。在这里插入图片描述重启tomcat服务,我们可以看到,页面为我们自定义的错误页面了。在这里插入图片描述。
WEB中间件Tomcat详解
m0_54563444的博客
08-06 959
jvm虚拟机,tomcat安装,jdk安装,war站点部署,tomcat多实例配置,反向代理集群,tomcat安全优化、性能优化
中间件-Tomcat
echoagod的博客
08-10 3441
Tomcat原理
二级等保主机安全测评作业指导书-中间件Tomcat.pdf
07-11
根据提供的文件信息,本文将详细解析“二级等保主机安全测评作业指导书-中间件Tomcat.pdf”中的关键知识点。 ### 一、二级等保主机安全测评背景 在中国的信息安全管理体系中,“等保”即“等级保护”,是中国网络...
中间件安全Tomcat 安全加固规范.pdf
03-15
中间件安全Tomcat 安全加固规范
java中间件tomcat
07-19
### Java中间件Tomcat详解 #### 一、Tomcat简介与重要性 **Tomcat** 是一个基于 **Java EE** 标准的轻量级Web服务器,它由 **Apache软件基金会** 的 **Jakarta项目** 发起并维护。由于其开放源代码的特性以及...
tomcat安全加固手册
05-09
Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于Sun公司的积极参与和支持,Tomcat能够迅速跟进最新的Servlet与JSP...
【盖世汽车-注册安全分析报告】
09-02 1325
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
【数据隐私与安全】数据隐私保护与安全管理
weixin_39372311的博客
09-01 1042
数据隐私与安全已成为当今社会不可忽视的重要问题。企业需要在遵守法律法规的基础上,采取有效的技术和管理措施,确保数据的安全与隐私不受侵犯。在未来,随着安全技术的不断发展,数据隐私保护将会更加完善,为企业和个人的数据资产保驾护航。
网络安全售前入门10安全服务——安全培训服务
打工人
09-02 1141
对企业人员进行安全意识培训,提高企业人员的安全意识。应对信息安全风险能力、信息系统安全运维水平,降低信息系统安全风险的重要工作,是《网络安全法》的合规性要求。
【一嗨租车-注册安全分析报告-滑动验证加载不正常导致安全隐患】
最新发布
09-02 1189
一嗨租车创立于2006年1月,主要为个人和政企用户提供综合汽车出行服务,一嗨租车于北京时间2014年11月18日晚9点45分,正式登陆美国纽交所挂牌交易, 作为美股上市公司,拥有雄厚的技术实力,但采用的是通俗的滑动验证产品,并且不能正常加载导致安全隐患。即使问题解决,其安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全
Web3开发与安全:6个月高效学习路径
weixin_47075747的博客
08-30 1897
这份计划应该能帮助你系统地学习智能合约开发和安全审计技能,同时克服英语的障碍。
中间件解析:Tomcat+Nginx 负载均衡实践
20世纪90年代后,随着互联网的快速发展,中间件成为了解决异构网络系统间安全通信和协同操作的有效工具。它位于操作系统之上,管理计算机资源和网络通信,为不同接口的系统提供连接,使得信息交换成为可能。 中间件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值