当前位置: 首页 > news >正文

Tomcat 漏洞

news 2025/8/18 12:25:55

一.CVE-2017-12615

1.使用burp抓包 把get改成put

jsp文件后加/

添加完成后访问 木马

然后木马的网址 在哥斯拉测试并且添加

添加成功  然后我们就成功进去啦、

二.弱口令

点击后输入默认用户名、密码:tomcat/tomcat

登陆之后上传一个jsp文件 后缀改成war

然后访问我们的jsp

然后上传成功 成功连接

三.CVE-2020-1938

漏洞复现
tomcat默认的conf/server.xml中配置了2个Connector,⼀个为 8080 的对外提供的HTTP协议端⼝,
另 外⼀个就是默认的 8009 AJP协议端⼝,两个端⼝默认均监听在外⽹ip。

2.在kali上输入  python CVE-2020-1938.py -p 8009 -f /WEB-INF/web.xml 1.15.136.212 后面的ip要是自己的ip

http://www.lryc.cn/news/419781.html

相关文章:

  • 分布式消息队列Kafka
  • C# Unity 面向对象补全计划 七大原则 之 迪米特法则(Law Of Demeter )难度:☆☆☆ 总结:直取蜀汉
  • 【C++】—— 类与对象(四)
  • Qt无边框窗口,关闭后再show,鼠标等事件不响应问题解决办法
  • StringJoiner更优雅创建含分隔符的字符序列
  • 线程池原理(一)线程池核心概述
  • 关于redisson的序列化配置
  • CentOS安装ax200驱动
  • FFMPEG Mac版本编译
  • Reactive Programing与“响应式”
  • Pinterest:从 Druid 到 StarRocks,实现 6 倍成本效益比提升
  • 代码+视频,R语言VRPM绘制多种模型的彩色列线图
  • Python 设计模式之工厂函数模式
  • 数据赋能(171)——开发:数据挖掘——概述、关注焦点
  • L1 - OpenCompass 评测 InternLM-1.8B 实践
  • JS【详解】数据类型检测(含获取任意数据的数据类型的函数封装、typeof、检测是否为 null、检测是否为数组、检测是否为非数组/函数的对象)
  • OpenCV图像滤波(10)Laplacian函数的使用
  • docker系列11:Dockerfile入门
  • LVS(Linux virual server)详解
  • Session共享方法
  • Ubuntu 22.04 Docker安装笔记
  • 编程-设计模式 6:适配器模式
  • ERC721 概念解释
  • 数据结构(其五)--串
  • LeetCode Hot100 LRU缓存
  • GESP C++ 2024年06月一级真题卷
  • 在 Ubuntu Server 上配置静态 IP 地址
  • 数据结构——栈的讲解(超详细)
  • 三防平板助力MES系统,实现工厂移动式生产报工
  • WEB渗透Bypass篇-常规函数绕过