站长之家 - 站长资讯 - 易采站长站

当前位置: > 建站教程 > 软件教程 > 环境搭建 >

Tomcat服务器 安全设置第1/3页

2018-07-18 09:05 | 来源:易采源码网 | 编辑:admin |

另外,由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。

  环境描述

  OS:Windows Server 2003

  IP:192.168.1.12

  Tomcat:6.0.18

  1、安全测试

  (1).登录后台

  在Windows Server 2003上部署Tomcat,一切保持默认。然后登录Tomcat后台,其默认的后台地址为:

  http://192.168.1.12:8080/manager/html。在浏览器中输入该地址,回车后弹出登录对话框,输入默认的用户名admin,默认的密码为空,成功登录后台。(图1)


(2).获得Webshell

  在Tomcat的后台有个WAR file to deploy模块,通过其可以上传WAR文件。Tomcat可以解析WAR文件,能够将其解压并生成web文件。我们将一个jsp格式的webshell用WinRar打包然后将其后缀改名为WAR(本例为gslw.war),这样;一个WAR包就生成了。最后将其上传到服务器,可以看到在Tomcat的后台中多了一个名为/gslw的目录,点击该目录打开该目录jsp木马就运行了,这样就获得了一个Webshell。(图2)


(3).测试操作

  创建管理员

  Tomcat服务默认是以system权限运行的,因此该jsp木马就继承了其权限,几乎可以对Web服务器进行所有的操作。比如启动服务、删除/创建/修改文件、创建用户。我们以创建管理员用户为例进行演示。运行jsp木马的“命令行”模块,分别输入命令net user test test168 /add和net localgroup administrators test /add,这样就创建了一个具有管理员权限的test用户,其密码为test168。(图3)


远程登录

  我们还可以进一步地渗透,比如通过“远程桌面”登录Web服务器。输入命令netstat -ano查看该服务器的3389端口是关闭的。我们可以利用webshell上传一个工具,利用其开启Web服务器的远程桌面。最后,我们就可以成功登录系统,至此整个Web沦陷。(图4)


123下一页阅读全文

  • 基于tomcat配置文件server.xml详解
  • tomcat设置gzip压缩的原理及配置方法
  • 利用systemctl管理Tomcat启动、停止、重启及开机启动详解
  • 基于tomcat的连接数与线程池详解
  • Tomcat在Linux服务器上的BIO、NIO、APR模式设置方法
  • nginx和tomcat访问图片和静态页面的配置方法
  • tomcat7w.exe 出现指定的服务未安装的解决方法
  • Tomcat实现多域名访问详解
  • 解决Tomcat在修改代码后不会自动reload的问题
  • 实现将Web应用部署到Tomcat根目录的三种方法
  • 网友评论

    关于我们 - 联系我们 - 广告服务 - 版权声明 - 人才招聘 - 友情链接 - 网站地图 - 帮助 - -

    CopyRight © 2010-2016 源码下载 easck.com , All Rights Reserved

    蒙公网安备 15052402000103号

    蒙ICP备14002389-1号