专栏首页黑白安全tomcat漏洞利用与防护

tomcat漏洞利用与防护

tomcat是apache的一个中间件软件,其可以提供jsp或者php的解析服务,为了方便远程管理与部署,安装完tomcat以后默认会有一个管理页面,管理员只需要远程上传一个WAR格式的文件,便可以将内容发布到网站,这一功能方便了管理员的同时也给黑客打开了方便之门,除此之外,tomcat还有一些样本页面,如果处理不当也会导致安全问题。

tomcat远程部署漏洞详情

tomcat管理地址通常是:

http://127.0.0.1:8080/manager

默认账号密码:

root/root
tomcat/tomcat 
admin admin
admin 123456

tomcat口令爆破

在默认不对tomcat做任何配置的时候爆破是无效的,而如果设置了账号密码就可以进行爆破。Tomcat的认证比较弱,Base64(用户名:密码)编码,请求响应码如果不是401(未经授权:访问由于凭据无效被拒绝。)即表示登录成功。登录成功后,可直接上传war文件,getshell(当然上传war文件需要manager权限)

getshell过程

首先将我们的.jsp shell文件打包为war文件:

jar -cvf shell.war shell.jsp

登录管理页面后,选择上传war文件。

截图中间的目录便是上传成功以后的木马文件,可以点击浏览。

直接在当前目录下访问shell.jsp。

Session Example样本页面

默认地址:

http://localhost/servlets-examples/servlet/SessionExample

用来设置任意会话变量,恶意使用可对应用程序造成破坏。

tomcat漏洞防护

1.升级tomcat版本 2.删除远程部署页面,或者限定页面的访问权限。 3.找到/conf/tomcat-users.xml修改用户名密码以及权限。 4.删除样例页面文件

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 另一种Tomcat渗透Getshell技巧

    可以看到有这么一个功能。Add Virtual Host 什么意思呢,根据译文说呢。大概就是一个虚拟host app可以远程部署war在tomcat上面。

    周俊辉
  • CVE-2019-0232 远程代码执行漏洞-复现

    该漏洞是由于Tomcat CGI将命令行参数传递给Windows程序的方式存在错误,使得CGIServlet被命令注入影响。

    周俊辉
  • 秒杀杀软的badusb

    我们看过很多黑客电影,上面的黑客利用一个U盘轻松入侵到对方计算机。觉得很酷,今天我们也来做一个吧。

    周俊辉
  • 第九章 tomcat配置

    上一章,我们介绍了apache服务的部署,其中我们介绍过网页开发所用到的语言,以asp、jsp、php为主,我们已经演示过php页面的使用。本章我们将演示jsp...

    晓天
  • CentOS下部署JDK+Tomcat8

    1、Tomcat需要JDK环境,参考之前的文章CentOS6下安装Java JDK8,提前安装好JDK环境

    yuanfan2012
  • Web基础配置篇(三): tomcat的配置及使用

    tomcat,大家应该都知道是啥,servlet的Web容器而已,遵守servlet规范的JavaEE服务器。我们通常用tomcat来部署war包来做应用服务器...

    品茗IT
  • 将 java 项目部署到 linux 上的具体步骤

    项目部署其实非常的简单,尤其是 java 项目。最近微信群里有网友,初学者还未毕业,问我 Java 项目是如果部署的?

    业余草
  • Linux(CentOS7.2)下安装JDK及Tomcat

    JDK:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-21331...

    耕耘实录
  • Web基础配置篇(三): tomcat的配置及使用

    tomcat,大家应该都知道是啥,servlet的Web容器而已,遵守servlet规范的JavaEE服务器。我们通常用tomcat来部署war包来做应用服务器...

    品茗IT
  • Tomcat进阶操作

    这个文件的内容可以效仿系统自带的manager页面认证的配置文件/application/tomcat/webapps/manager/WEB-INF/web....

    山山仙人

扫码关注云+社区

领取腾讯云代金券