tomcat war包部署_Tomcat 弱口令

最新推荐文章于 2024-04-24 11:07:32 发布
最新推荐文章于 2024-04-24 11:07:32 发布
阅读量226 收藏 2
点赞数
文章标签: tomcat war包部署 tomcat用户名密码 tomcat运行war包 tomcat部署war

686b4befe73c1cc6a157df6f5bee4186.png

Tomcat 弱口令

Apache+Tomcat是很常用的网站解决方案,Apache用于提供web服务,而Tomcat是Apache服务器的扩展,用于运行jsp页面和servlet。Tomcat有一个管理后台,其用户名和密码在Tomcat安装目录下的conftomcat-users.xml文件中配置,不少管理员为了方便,经常采用弱口令。Tomcat 支持在后台部署war包,可以直接将webshell部署到web目录下,如果tomcat后台管理用户存在弱口令,这很容易被利用上传webshell。

启动漏洞环境

ajest@ajest-virtual-machine:~$ ~/tomcat/apache-tomcat-8.5.32/bin/startup.sh

Using CATALINA_BASE: /home/ajest/tomcat/apache-tomcat-8.5.32

Using CATALINA_HOME: /home/ajest/tomcat/apache-tomcat-8.5.32

Using CATALINA_TMPDIR: /home/ajest/tomcat/apache-tomcat-8.5.32/temp

Using JRE_HOME: /home/ajest/java/jdk1.8.0_131

Using CLASSPATH: /home/ajest/tomcat/apache-tomcat-8.5.32/bin/bootstrap.jar:/home/ajest/tomcat/apache-tomcat-8.5.32/bin/tomcat-juli.jar

Tomcat started.

ajest@ajest-virtual-machine:~$

Tomcat 主页

http://192.168.16.113:8080/

b4323bc82cbd7d4dd7e64ad5f995faa1.png

管理控制台页面

998065ea2721f0de953565220ad19b39.png

输入:tomcat/tomcat

a93de48cd9798700005f5772e5cdc8c2.png

制作war 包JSP 木马

AJESTdeMBP:jsp ajest$ jar cvf jshell.war jshell.jsp

已添加清单

正在添加: jshell.jsp(输入 = 112448) (输出 = 13273)(压缩了 88%)

AJESTdeMBP:jsp ajest$

直接上传war 包木马

6210599f582bc75d962537b61bfba4f3.png

上传成功

d3d5eda319c0e9836eedc46063d54969.png

直接访问木马即可,http://192.168.16.113:8080/jshell/jshell.jsp

输入密码:1q1q1q

6980284c7c915746ce2d0efb8b4eb765.png
weixin_39731782
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat服务器设置用户名密码
程序员云帆哥的博客
03-30 7万+
1、打开Tomcat安装目录 2、要修改的文件:apache-tomcat-7.0.85/conf/tomcat-users.xml 3、在文件中增加用户配置(停服务器修改!) 4、打开浏览器输入地址http://localhost:8080,并填写设置好的用户名密码。 5、密码验证通过后进入管理页面。 ...
[vulhub]Tomcat8+ 弱口令 && 后台getshell漏洞复现
feigerger的博客
09-07 155
将jsp大马打war。上传后显示上传的路径。
Tomcat弱口令后台部署wargetshell
最新发布
qq_59102311的博客
04-24 2138
3.点击Manager App,跳转http://127.0.0.1:8080/manager/html,要求登录验证。6.使用auxiliary/scanner/http/tomcat_mgr_login模块,查看详细信息。1.进入/vulhub/tomcat/tomcat8目录,启动docker。8.运行模块,爆破得出用户名密码tomcat:tomcat。13. 打开蚁剑,输入url,密码cmd,成功getshell。11.使用cmd命令,将jsp文件打war。7.设置目标IP和目标端口。
Weblogic漏洞之弱口令、任意文件读取、上传shell
a1b2c3是弱口令
12-09 6922
弱口令 环境启动后,访问http://192.168.1.15:7001/console/login/LoginForm.jsp,即为weblogic后台。 本环境存在弱口令可以直接登录: weblogic Oracle@123 weblogic常用弱口令: 1. Oracle - WebLogic Method HTTP User ID system Password password ...
Tomcat管理页面弱口令页面Getshell
weixin_45253622的博客
03-06 5056
Tomcat管理页面弱口令页面Getshell 传送门 Tomcat安装完成后,点击页面的 Manager App 处会弹出输入用户名密码的认证框。 我们也可以直接访问:http://127.0.0.1:8080/manager/html 来访问该管理页面。 但是默认情况下,该页面只允许 tomcat 本机访问,其他主机访问时会显示403。 这时,只需要修改 webapps\manager\META-INF\context.xml 文件,注释下如下行即可。 此时,需要我们输入用户名密码进行登录。
Tomcat9-默认登录名密码
m0_67402235的博客
04-10 2917
tomcat启动完成后,在浏览器中输入http://localhost:8080/,进入tomcat默认页,那么tomcat的默认登录名和密码是什么呢? 我是通过免安装的方式启动的tomcat,所以没有手动配置过用户名密码,那如何配置呢? 点击【Manage App】,出现如下界面 点【取消】按钮,跳转至如下页面 根据页面提示信息,在tomcat目录下,找到conf文件夹,然后找到tomcat-users.xml文件,添加如下信息 <role rolename="manager-gui"/&g
工具tomcat
08-19
在标签中,我们只看到了“tomcat”,这通常意味着讨论的内容与Tomcat服务器的配置、部署、优化或者问题排查有关。Tomcat的使用范围广泛,涵盖了开发、测试和生产环境,因此相关的知识点非常丰富。 在压缩子文件的...
tomcat最新版本的
10-25
- 将WAR文件直接放入`webapps`目录下,Tomcat会自动解压并部署。 - 或者在`conf/server.xml`中的`Host`元素下添加`Context`元素,指定应用的路径和war文件位置。 4. **管理控制台**: - Tomcat附带了一个Web管理...
Tomcat相关漏洞极其预防1
08-08
(四) Tomcat1、远程代码执行2、war 后门文件部署3.弱口令1.Tomcat远程代码执行漏洞,Tomcat 运行在Windows 主机上,且启用了 H
Linux常用命令
12-22
2. **删除旧项目**:进入Tomcat的`webapps`目录,使用`rm -rf`命令删除旧的`war`和已部署的项目文件。这一步确保新的部署不会与旧版本冲突。 3. **上传新`war`**:利用SecureCRT或其他FTP工具,将新的`war`...
Jboss漏洞利用总结1
08-03
- 部署成功后,可以在 `jboss.web.deployment` 下观察到新部署WAR 。默认情况下,这些 Webshell 会被部署在 `\jboss-4.2.3.GA\server\default\tmp\deploy\` 目录,为了稳固权限,可以将 shell 移动到 `\jboss-...
Tomcat的默认账户密码
热门推荐
m0_67393039的博客
08-26 1万+
2、找到tomcat主目录下的子目录conf里面的tomcat-users.xml文件,找到如图红色框里的几行代码,红框1里的是用户在安装tomcat时设置的密码,如果用户在安装时未设定密码则如红框2里的显示。username是账户,password是密码,先记下来。1、首先确定tomcat首页能够访问,在浏览器上输入http://localhost:8080/如下图显示则为正常。3、浏览器点击登录链接,将第二步记下的账户和密码填入即可登录。...
jsp木马jshell
zzg810314
06-13 967
 一款不错的jsp木马,jshell最近发现修改版很多,而且功能也强大了好多。 首先介绍一下如何上载这款jsp木马,现在的jsp应用大多以tomcat发布,tomcat默认有两个管理应用,分别是admin和manager/html,如果在软件发布的时候没有更改密码或删除应用,就会造成很大的安全隐患,例如这两个应用的默认密码都为空,登录manager后,可以创建上传context应用,如果我们把这款...
Tomcat8.5.88配置tomcat-users.xml文件配置账号密码
Farrel_的博客
06-01 1046
Tomcat中保存了一些用户权限,也就是角色,比如admin、Tomcat等。这个语句建立了一个用户,用户名是"root",密码也是"root"。这个用户的全称是"test"。"root"这个用户拥有的权限是admin、manager、role1、TomcatTomcat-users.xml文件含了所有Tomcat服务器的注册用户,其中有role(角色)、user(用户)两种信息。在这里有一些需要声明,Tomcat的系统管理员必须有admin的用户权限,否则无法登陆Tomcat的管理界面。
Tomcat8.5配置manager账号密码
老狼的博客
09-02 2038
文章目录Tomcat8.5配置manager账号密码 Tomcat8.5配置manager账号密码 安装好tomcat之后,打开tomcat安装目录下的conf目录。在conf目录下编辑tomcat-user.xml文件 a. 在tomcat-user.xml文件的最下方找到角色和用户的配置。 <!-- <role rolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" pa
linux上的tomcat8.5通过账号密码登录查看
Yuan_CSDF的博客
10-20 2191
1.在tomcat-users.xml文件加上 2.加上这个还不够,要把下面这个注释掉,不然会有 403 Access Denied 把/usr/local/src/apache-tomcat-8.5.23/webapps/manager/META-INF/context.xml里面的
Tomcat安装配置
qq_42746264的博客
12-16 1242
Tomcat安装配置
20220310学习笔记-apache-tomcat-8.5.29-服务器localhost要求用户名密码问题解决
u011560187的专栏
03-10 2023
apache-tomcat-8.5.29-服务器localhost要求用户名密码问题解决
windows dubbo tomcat war部署
10-30
Windows系统下使用Dubbo框架部署Tomcatwar有以下几个步骤: 1. 下载Tomcat并解压:访问Apache Tomcat官网,选择需要的版本,并下载压缩。解压缩到任意目录,比如`D:\tomcat`。 2. 配置Tomcat环境变量:右键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值