有些 Tomcat 安装之后没有修改默认密码(用户名 admin ,密码为空)或者密码太过简单,这样别人就可以轻易登录进去。
A 登录 Tomcat 管理界面 。
大意的管理员们, 你看吧, 别人轻易就进了 Tomcat 的管理界面。
好戏马上要上场!!!!
B .发布你的木马到 Server 上
1. 找到 Deploy 项
制作或者上传一个 WAR 文件, 发布你为所欲为的程序吧, 如果没有, 我可以送你一个, 请看附件。
按下 Deploy ,发布成功!!!
然后去你的 Tomcat 安装目录下看看吧:
这个 index.jsp 里面的代码会干点什么坏事呢, 别太急, 马上分解!!!!
Oh , my god ! 竟然可以 访问到服务器上的所有硬盘, 及所有文件夹, 可以随便创建或者删除目录, 随便下载你想要的文件, 甚至可以随便上传文件, 比如一个 EXE 文件!
这太恐怖了吧!!!!
接下来的一幕, 保证让你对自己没有设置一个复杂的 Tomcat 管理密码而后悔到肠断掉!!!
按下页面最下面的一个按钮:
这是什么东西?
Dos , 对没有错, 这就是 Windows 的 Dos 窗口, 你操作它就像正在操作 Server 上的 Windows 的 Dos 界面一样方便, 要是你用 Format 命令干掉 C 盘, 那岂不是系统的灾难?又或者用它来启动一个 EXE 文件,或者是木马什么的, 你的网银账号还有地藏身吗?
下面来玩一些更酷的, 我用 Dos 创建一个用户, 并赋给它管理员的权限。
分别在 Command 里输入, 并提交!
net user temp {password+123} /add
net localgroup administrators temp /add
两条命令成功完成, 回到你的 Server 管理员底下看看发生了什么吧
看到没有, 在用户里我建立了一个新的用户 temp, 并且把它赋予了 Administrator 的权限。 你完全可以用一个远程登录的软件, 使用刚刚建立的用户, 登录到服务器上为所欲为了, 不会有任何人知道, 而且操作界面还相当方便!
所以敬告各位 Tomcat 的管理员和使用者, 在安装 Tomcat 的时候就要设置密码, 并且是一个不容易破解的密码, 不然哪天你的 Server 完全 裸露在天空底下而不自知, 到时候再来后悔就来不及了。
相关推荐
在Tomcat默认安装后,tomcat的主目录是webapps/root目录。 在conf文件夹下面找到server.xml 打开 在<hosts> ……中间添加一行 代码如下:”” docBase=”/usr/tomcat/apache-tomcat-8.5.11/webapps/guanwang” ...
用于修改tomcat默认主页,可以做到类似搜狐网站类似的结构,打出域名即可访问网站。希望可以帮到你。
Tomcat攻击项目
Tomcat配置SSL全过程
tomcat配置默认访问项目,配置后可直接通过ip地址加端口号访问项目
Tomcat 配置文件数据库密码加密,增加factory属性和修改context.xml文件中密码为密文,在lib文件中添加自定义的factory类 代码是jdk1.8版本,包含简单的加密类和http请求,如果使用简单的加密,不需要引用额外的lib...
Tomcat在Eclipse下的配置全过程
详细讲解tomcat 连接池数据库解密加密方法以及过程。
修改Tomcat默认编码消除get方式传递参数出现中文乱码修改Tomcat默认编码消除get方式传递参数出现中文乱码修改Tomcat默认编码消除get方式传递参数出现中文乱码修改Tomcat默认编码消除get方式传递参数出现中文乱码
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
Tomcat设置默认启动项目,顾名思义,就是让可以在浏览器的地址栏中输入ip:8080,就能访问到我们的项目。
Apache_Tomcat7.0.23管理初始密码设置
修改tomcat默认端口号
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!
mysql数据库和tomcat服务器连接全过程指导教程,配有插图
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!支持多操作系统如:linux mac os 文件太多分成两部分请...