当前位置: 首页 > news >正文

Tomcat中间件漏洞攻略

news 来源:原创 2025/5/8 13:38:32

​​​​​CVE-2017-12615

Tomcat put任意写⼊

在主页面使用Burp抓包

 使用哥斯拉生成jsp木马,名字为1.jsp

 将代码放到重放器,改为PUT方式,加上/1.jsp/,下面加上刚才创的1.jsp内容(用记事本打开),之后点击发送

 通过http://39.105.61.160:8081/1.jsp访问,可以使用哥斯拉连接

后台令部war

点击Manager App

使用弱口令tomcat;tomcat登录 

将刚才的1.jsp压缩为1.zip,再将名字改为1.war

之后使用http://39.105.61.160:8081/1/1.jsp就可以访问 ,也可以使用哥斯拉连接

​​​​​​​CVE-2020-1938

Tomcat包含

 使用CVE-2020-1938-Tomact-file_include-file_read-master工具

执行 python 'Tomcat-ROOT路径下文件包含(CVE-2020-1938).py' -p 8009 -f /WEB-INF/web.xml 39.105.61.160:8082  就可以了

相关文章:

  • 2. AVL树
  • 查询、插入、更新、删除数据的SQL语句(SQLite)
  • Ceph集群部署步骤
  • Python---数据分析(Pandas十一:二维数组DataFrame统计计算二)
  • 《AI大模型趣味实战 》第8集:多端适配 个人新闻头条 基于大模型和RSS聚合打造个人新闻电台(Flask WEB版) 2
  • 开源AI大模型、AI智能名片与S2B2C商城小程序源码:实体店引流的破局之道
  • 指针,数组 易混题解析(一)
  • 【STM32】SPI通信外设硬件SPI读写W25Q64
  • 手动离线安装NextCloud插件
  • ElementUI表格展开属性
  • AI与自媒体的深度融合路径、场景与挑战
  • 从 Java 的 Spring Boot MVC 转向 Go 语言开发的差异变化
  • 华为 SD-WAN 内联隧道原理
  • 使用Python构建去中心化预测市场:从概念到实现
  • 高频面试题(含笔试高频算法整理)基本总结回顾67
  • Unity中MonoBehaviour的生命周期详解
  • PyTorch核心基础知识点(一)
  • numpy学习笔记9:numpy的广播机制详细解释
  • 吴恩达机器学习笔记复盘(九)逻辑回归模型概述
  • 人工智能 - 在 Spring Boot 中调用 AnythingLLM+DeepSeek 的知识库获取消息接口
  • 马上评|比余华与史铁生的友情更动人的是什么
  • 当年的你,现在在哪里?——新民晚报杯40周年寻人启事
  • 金融监管总局:正在修订并购贷款管理办法,将进一步释放并购贷款的潜力
  • 机器人助力、入境游、演出引流:假期纳客千万人次城市有高招
  • 城事|五一长假,哪里人最多?
  • 南方地区强降雨或致部分河流发生超警洪水,水利部部署防范