后台弱口令部署war包 漏洞复现

已于 2024-08-06 11:06:16 修改
阅读量207 收藏
点赞数 7
文章标签: 安全
于 2024-08-06 10:12:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57682301/article/details/140947632
版权

1.搭建好环境打开页面---点击右方的manager app 默认账号密码为tomcat

2.登录完成后滑到下面点击浏览

3.将你生成的jsp木马压缩为zip格式并将后缀名改为war

4.提交此war压缩包然后在目录中点击

5.点击完后在后面加lkj.jsp,访问成功证明注入成功

5.打开哥斯拉连接

狂i
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
13-5 tomcat 弱口令war远程部署
weixin_43263566的博客
12-04 1055
Apache Tomcat 是一个开源的Web应用服务器,它主要用于部署和管理基于Java的Web应用程序。Tomcat 提供了一套完整的管理界面,允许管理员通过Web界面来部署、启动、停止和卸载Web应用程序。这些管理功能通过特定的角色和权限来控制访问。在 Tomcat 中,权限是通过在文件中配置用户角色来管理的。不同的角色允许用户执行不同的操作。manager(后台管理): 这是一个通用角色,通常不会直接赋予用户,而是作为其他管理角色的基础。
Tomcat弱口令war漏洞复现(保姆级教程)
m0_69043895的博客
04-21 1657
这里我们采用针对同一弱口令去爆破不同账号的方式进行猜解,将可能存在的username放入position1的位置,其次放置password在position3的位置,最后attack时爆破的顺序如下图,就不会针对同一账号锁定。CSDN上有个脚本利用的是占满tomcat缓存的方式绕过,当同一账号大于5次登录,就会采用脏数据去进行登录,直到缓存占满后,又会用剩下的可能存在的username进行登录。链接的地址是 /zip文件的前缀/文件名,比如我这里就是http://IP/shell/shell.jsp。
Tomcat后台弱口令上传war漏洞复现
小小猪的博客
11-19 2311
Tomcat后台弱口令上传war漏洞复现 漏洞原因: Tomcat 支持在后台部署war文件,可以直接将webshell部署到web目录下。 解释一下War的概念:war是用来进行Web开发时一个网站项目下的所有代码,括前台HTML/CSS/JS代码,以及后台JavaWeb的代码。当开发人员开发完毕时,就会将源码打给测试人员测试,测试完后若要发布则也会打War进行发布。War可以放在Tomcat下的webapps或word目录,当Tomcat服务器启动时,War即会随之解压源代码来
漏洞复现 】Tomcat 后台弱口令部署war getshell
最新发布
qq_48368964的博客
08-06 85
在tomcat8环境下默认进入后台的密码为 tomcat/tomcat,未修改造成未授权即可进入后台,或者管理员把密码设置成弱口令
Tomcat7部署wargetshell 漏洞复现
Boom!脑洞大爆炸的博客
07-07 934
Tomcat7部署wargetshell 漏洞复现
【Vulfocus靶场-初级】Tomcat后台弱口令+War文件上传Getshell漏洞复现
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-26 3532
Vulfocus靶场漏洞,Tomcat后台弱口令War文件上传Getshell漏洞复现,利用冰蝎/哥斯拉进一步方便命令执行,获得flag并提交,通过tomcat靶场。
vulhub复现之tomcat8.0.43弱口令&war远程部署漏洞复现
m0_70483044的博客
07-19 2573
学习时间2022.7.18一日之计在于晨,一年之计在于春。
Tomcat+弱口令&后台Getshell漏洞复现
weixin_60329395的博客
08-03 1195
漏洞影响范围:Tomcat 8.0版本、漏洞类型:弱口令、任意文件上传、漏洞成因:在tomcat8环境下,默认的后台密码为tomcat:tomcat,未修改默认密码就会造成未经授权的后台访问。后台存在war绕过
Tomcat漏洞(弱口令war)详解
m0_67402096的博客
08-26 1242
影响版本:Tomcat版本:7.0–>8.0影响说明:后台弱口令登录,上传webshell环境说明:PHP5.5.38 、 Apache2.4.10、Tomcat 8.0.43。
后台弱口令检测工具
04-16
后台弱口令检测工具
redis的弱口令漏洞环境
01-26
docker-compose.yml
弱口令小型.txt
12-19
小型弱口令密码,做简单的ctf有关爆破题目专用。 大约763kb大小,较为全面 因寻找不易,故设置积分,望见谅 综上。
超级弱口令检查工具(附带弱口令字典)
07-22
超级弱口令检查工具(附带弱口令字典)
弱口令——里面含了国内最常用的口令
08-23
弱口令——里面含了国内最常用的口令! 数字的、数字和字母结合的、字母的、相邻字母的、符号的都有! 大家可以下载用一下,绝对好玩! 亲测有效
云原生安全检测工具(容器安全、trivy、veinmind-tools)
墨痕诉清风的博客
07-31 623
例如上文的 mysql:5.7 镜像,在扫描镜像含的 openssl 库时,会根据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并根据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。
交换机-端口安全
zhuge_long的专栏
08-05 103
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
自学黑客(网络安全
2301_77160226的博客
08-05 901
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
8月5日学习笔记 glibc安装与安全用户角色权限
weixin_70751701的博客
08-05 746
安装步骤1.安装依赖库# 添加开机启动Enter password: # 输⼊123or \g.or \g.#重启服务# 有套接字⽂件,就可以链接mysql服务or \g.owners.Type 'help;mysql>```
weblogic后台批量弱口令扫描
08-17
WebLogic是一种常用的JavaEE应用服务器,但由于其默认配置的一些弱点,可能会存在被攻击者利用弱口令进行非法访问的风险。 针对WebLogic后台的批量弱口令扫描,我们可以通过以下步骤进行: 1. 确定批量弱口令扫描的目的:批量弱口令扫描的目的是为了发现WebLogic后台存在弱口令的情况,及时修复,以防止攻击者利用弱口令进行恶意操作。 2. 编写扫描脚本:可以使用编程语言如Python等,通过WebLogic的管理接口进行扫描。脚本代码需要通过遍历常用的弱口令组合,尝试访问WebLogic的管理后台。如果脚本能够成功登录,则表示存在弱口令。 3. 执行扫描脚本:将编写好的扫描脚本执行,开始对目标WebLogic服务器进行扫描。脚本将自动遍历设定好的弱口令组合,进行登录尝试。 4. 分析扫描结果:扫描脚本完成后,将输出登录成功的结果。我们需要仔细分析这些结果,找出存在弱口令的账号密码组合,并及时修改这些组合的凭据,以提高WebLogic服务器的安全性。 批量弱口令扫描是一种常用的安全测试方法,可以帮助我们发现并修复存在的安全漏洞,防止被恶意攻击。但需要注意,只能在合法授权的情况下对自己所属的系统进行扫描,禁止对他人的系统进行未经授权的扫描。同时,为了提高安全性,请设置复杂的强密码,并定期更换密码,以减少安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值