Tomcat漏洞(弱口令war包)详解 |
您所在的位置:网站首页 › 中间件控制台弱口令是什么 › Tomcat漏洞(弱口令war包)详解 |
后台弱口令上传war包
影响版本:Tomcat版本:7.0–>8.0 影响说明:后台弱口令登录,上传webshell 环境说明:PHP5.5.38 、 Apache2.4.10、Tomcat 8.0.43 环境搭建东塔靶场 漏洞原理tomcat存在管理后台进行应用部署管理,且管理后台使用HTTP基础认证进行登录。若用户口令为弱口令,攻击者容易进行暴力破解登录后台并进行应用管理。 tomcat是一个中间件,在B/S架构中,浏览器发出的http请求经过tpmcat中间件,转发到最终的目的服务器上,响应消息再通过tomcat返回给浏览器。 Tomcat后台管理界面的用户配置文件为conf目录下的tomcat-users.xml 漏洞复现1 打开tomcat管理页面 http://your-ip/manager/html 默认账号密码登录tomcat/tomcat 2 将一个jsp的木马打包成war包然后上传部署 jar.exe -cvf shell.war “shell.jsp” 3 哥斯拉连接 修复建议及时更新tomcat版本并检查配置文件 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |