攻击tomcat下自带的manager工程

最新推荐文章于 2022-03-19 18:26:08 发布
最新推荐文章于 2022-03-19 18:26:08 发布
阅读量95 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/dafengshou/p/3652379.html
版权

 

 1.配置tomcat-users.xml 用户名密码

  <tomcat-users>

     <role rolename="tomcat"/>
     <role rolename="role1"/>
    <role rolename="manager-gui"/>
    <user username="tomcat" password="tomcat" roles="tomcat,manager-gui"/>
    <user username="both" password="tomcat" roles="tomcat,role1"/>
    <user username="role1" password="tomcat" roles="role1"/>

  </tomcat-users>

    其中manager-gui 角色可以登录manager gui工程,进行可视化管理。

 2.默认tomat根目录下的webapps下有manager工程,黑客可以利用此工程,暴力破解,尤其是上面第一步配置的密码十分简单的话,很容易破解,破解后很容易植入木马病毒等

   如果不需要此工程的话,最好把他删掉,免得受攻击。

 

 

 

 

 

转载于:https://www.cnblogs.com/dafengshou/p/3652379.html

weixin_30593261
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat 默认项目工程配置
跨时代
09-28 442
1. 在tomcat主目录下创建一个空目录:webroot(和webapps平行) 2. 修改tomcat/confrver.xml,在和之间加入Context容器: 同时中的appBase="webapps"改为appBase="webroot" 3.重启tomcat
学了一招,原来tomcat应用这么容易就能入侵
星空
05-22 1万+
转载地址:http://blog.csdn.net/ljwhx2002/article/details/5972406 你的应用服务器是tomcat么?那你得注意下了 这些天我的tomcat目录下莫名其妙的多了个war文件,里面内容只有一个index.jsp, 当时很疑惑,谁传上去的?能控制服务器权限的团队里就我和nick,都没传过。 出于好奇,我把这个jsp弄到了我本地,一看内容,哇塞,
Tomcat6启动控制台(manager应用)
weixin_42098860的博客
11-15 172
tomcat配置默认访问工程目录
weixin_34293246的博客
07-01 196
在实际的开发测试中,访问路径加工程名不免有点麻烦,例如有web工程名为:sunmojd,那么在tomcat的server.xml中的配置如下:找到标签:<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" x...
tomcat-redis-session-manager
06-06
Tomcat Redis Session Manager:实现高效会话管理》 在Web应用开发中,session管理是不可或缺的一部分,它用于存储用户状态信息,确保用户在不同页面间保持登录状态。然而,随着分布式系统的普及,单个服务器的...
ngnix tomcat7 redis session manager jar包
11-09
标题 "ngnix tomcat7 redis session manager jar包" 提供了我们正在处理的是一个用于在Tomcat7服务器上利用Redis实现session共享的解决方案。这个解决方案通常涉及到将Web应用程序的会话数据存储在Redis这样的分布式...
tomcat manager配置
09-28
tomcat manager app配置及常见错误处理。亲测可用,分享给大伙
Tomcat攻击项目
12-02
Tomcat攻击项目
Memcache Session Manager + Tomcat8.5.6
06-09
标题中的“Memcache Session Manager + Tomcat8.5.6”指的是在Tomcat 8.5.6版本中,利用Memcache作为会话管理器来实现跨服务器的session共享。Memcache是一个高性能、分布式内存对象缓存系统,常用于缓解数据库压力...
Tomcat Manager口令爆破&利用Tomcat弱口令上传文件拿Shell&加固(详细到不能再详细了)
Aven.H的博客
08-20 3956
利用Tomcat弱口令上传文件获取系统权限 1. 漏洞详情: 当tomcatmanager管理界面存在弱口令时,可以登录后台上传war包,上传的war文件会自动解压至web目录下,可以访问上传木马文件并执行,获取系统权限,一般都是服务器的最高权限。 2. 环境搭建: (1) 服务器:windows_server2008 (2) 安装所需环境:jdk+apache+tomcat 配置jdk+Apache Tomcat 8.0.20,能正常访问tomcat默认界面。 这里要注意一个事
apahce tomcat暴力破解
mingyqf的博客
11-22 1212
实战演练 在此之前,我想先说一下,我们在暴力破解账号密码时同样可以使用hydra和burp,不同攻击都有不同方法,这次我们仅仅谈论Metasploit下的相关模块,来进行针对性破解。 1、靶机xxx有一个Tomcat服务,为8080端口,浏览器访问: http://192.168.206.1:8080/manager/html 或者 http://127.0.0.1:8080/manager/html 2、可以看到弹出了一个认证界面,要求输入账号密码,抛开实验环境来谈,我们并不知道目标账号密码,那么现在我们
Tomcat 漏洞复现笔记
未完成的歌~的博客
03-19 5884
Tomcat 简介 Tomcat 是一个开源的轻量级 Web 应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 Java 程序的首选。 实际上 Tomcat 是 Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运行的。 Apache 为 HTML 页面服务,Tomcat 主要运行 JSP 页面和 Servlet。另外,Tomcat 和 IIS 等 Web 服务器一样,具有处理 HTML 页面的.
Tomcat应用服务器被黑客 肉鸡攻击 记录
csdn's blog
08-03 1万+
线上一台应用服务器报警,负载过高,这个就诡异了,因为只是一个普通的服务器,应用使用人员不到10个人,咋会负载高,肯定有问题哪,登陆上去查看, top查看哪个占据的cpu资源比较多 [root@aew01~]# top top - 14:27:49 up 423 days, 22:48, 3 users, load average: 2.10, 1.85, 1.66 Tasks: 166 tot...
删除 Tomcat-webapps 目录自带项目
热门推荐
Flyin-Gaga
03-19 2万+
删除 Tomcat-webapps 目录自带项目,如 docs、examples 等,并修改部分配置文件。提高 Tomcat 的运行性能和启动速度。
TOMCAT下配置工程的默认访问
feiyang的专栏
04-14 6391
工程的部署一般是将工程的压缩文件放在tomcat安装目录的webapps下,访问时通过键入:http://localhost:8080/xx(假定为本机访问,xx是部署时的应用工程的访问名字)。 而如果直接键入:http://localhost:8080出来的将是tomcat自带的欢迎页面,如何让键入http://localhost:8080出来的是自己的应用工程的页面呢?在这里希望和大家一起探
暴力攻击tomcat
最新发布
12-22
下面是一个演示暴力攻击Tomcat的步骤: 1. 确定目标:首先,你需要确定目标Tomcat服务器的IP地址或域名。 2. 准备工具:你可以使用Metasploit等工具来执行暴力攻击。Metasploit是一款流行的渗透测试工具,它提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值