快捷導(dǎo)航

Tomcat服務(wù)器安全設(shè)置第1/3頁(yè)

更新時(shí)間：2009年08月01日 15:54:19 作者：

tomcat是一個(gè)開(kāi)源Web服務(wù)器，基于Tomcat的Web運(yùn)行效率高，可以在一般的硬件平臺(tái)上流暢運(yùn)行，因此，頗受Web站長(zhǎng)的青睞。不過(guò)，在默認(rèn)配置下其存在一定的安全隱患，可被惡意攻擊。

另外，由于其功能比較單純需要我們進(jìn)一步地進(jìn)行設(shè)置。本機(jī)將從安全和功能兩方面談?wù)劵赥omcat的Web服務(wù)器的部署，希望對(duì)大家有所幫助。

　　環(huán)境描述

　　OS：Windows Server 2003

　　IP：192.168.1.12

　　Tomcat：6.0.18

　　1、安全測(cè)試

　　(1).登錄后臺(tái)

　　在Windows Server 2003上部署Tomcat，一切保持默認(rèn)。然后登錄Tomcat后臺(tái)，其默認(rèn)的后臺(tái)地址為：

　　http://192.168.1.12:8080/manager/html。在瀏覽器中輸入該地址，回車后彈出登錄對(duì)話框，輸入默認(rèn)的用戶名admin，默認(rèn)的密碼為空，成功登錄后臺(tái)。(圖1)

(2).獲得Webshell

　　在Tomcat的后臺(tái)有個(gè)WAR file to deploy模塊，通過(guò)其可以上傳WAR文件。Tomcat可以解析WAR文件，能夠?qū)⑵浣鈮翰⑸蓋eb文件。我們將一個(gè)jsp格式的webshell用WinRar打包然后將其后綴改名為WAR(本例為gslw.war)，這樣;一個(gè)WAR包就生成了。最后將其上傳到服務(wù)器，可以看到在Tomcat的后臺(tái)中多了一個(gè)名為/gslw的目錄，點(diǎn)擊該目錄打開(kāi)該目錄jsp木馬就運(yùn)行了，這樣就獲得了一個(gè)Webshell。(圖2)

(3).測(cè)試操作

　　創(chuàng)建管理員

　　Tomcat服務(wù)默認(rèn)是以system權(quán)限運(yùn)行的，因此該jsp木馬就繼承了其權(quán)限，幾乎可以對(duì)Web服務(wù)器進(jìn)行所有的操作。比如啟動(dòng)服務(wù)、刪除/創(chuàng)建/修改文件、創(chuàng)建用戶。我們以創(chuàng)建管理員用戶為例進(jìn)行演示。運(yùn)行jsp木馬的“命令行”模塊，分別輸入命令net user test test168 /add和net localgroup administrators test /add，這樣就創(chuàng)建了一個(gè)具有管理員權(quán)限的test用戶，其密碼為test168。(圖3)

遠(yuǎn)程登錄

　　我們還可以進(jìn)一步地滲透，比如通過(guò)“遠(yuǎn)程桌面”登錄Web服務(wù)器。輸入命令netstat -ano查看該服務(wù)器的3389端口是關(guān)閉的。我們可以利用webshell上傳一個(gè)工具，利用其開(kāi)啟Web服務(wù)器的遠(yuǎn)程桌面。最后，我們就可以成功登錄系統(tǒng)，至此整個(gè)Web淪陷。(圖4)

12 3 下一頁(yè)閱讀全文

您可能感興趣的文章:

相關(guān)文章

Tomcat部署B(yǎng)olo動(dòng)態(tài)博客
這篇文章主要介紹了Tomcat部署B(yǎng)olo,我的服務(wù)器的鏡像是Alibaba Cloud Linux 3，全面兼容RHEL/CentOS 8生態(tài)，Bolo需要JavaEE環(huán)境，不能選擇最新的Tomcat10，需要Tomcat9或者Tomcat8，感興趣的朋友跟隨小編一起看看吧
2022-01-01
tomcat部署web應(yīng)用的4種方法總結(jié)(推薦)
本篇文章主要介紹了tomcat部署web應(yīng)用的方法，主要有4中方法，包括Tomcat自動(dòng)部署、控制臺(tái)進(jìn)行部署、增加自定義的Web部署文件、手動(dòng)修改%Tomcat_Home%\conf\server.xml文件來(lái)部署web應(yīng)用，有興趣的可以了解一下。
2016-11-11
tomcat啟動(dòng)異常:子容器啟動(dòng)失敗(a child container failed&n
這篇文章主要介紹了tomcat啟動(dòng)異常:子容器啟動(dòng)失敗(a child container failed during start),如果你也遇到了這個(gè)問(wèn)題,那么這篇文章應(yīng)該可以幫助到你,一起來(lái)看看吧
2023-03-03
tomcat簡(jiǎn)介_(kāi)動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
這篇文章主要介紹了tomcat簡(jiǎn)介，詳細(xì)的介紹了tomcat和Tomcat基本配置，具有一定的參考價(jià)值，有興趣的可以了解一下
2017-07-07
tomcat啟動(dòng)startup.bat一閃而過(guò)問(wèn)題的解決方法【親測(cè)有效】
這篇文章主要介紹了tomcat啟動(dòng)startup.bat一閃而過(guò)問(wèn)題的解決方法，非常不錯(cuò)，具有一定的參考借鑒價(jià)值，需要的朋友參考下吧
2018-05-05
Tomcat容器管理安全的驗(yàn)證方式匯總
當(dāng)訪問(wèn)服務(wù)器中受保護(hù)的資源時(shí)，容器管理的驗(yàn)證方法可以控制確認(rèn)用戶身份的方式。Tomcat支持四種容器管理的安全防護(hù)。下面小編給大家分享Tomcat容器管理安全的驗(yàn)證方式匯總，感興趣的朋友一起看看吧
2016-11-11
Tomcat 發(fā)布程序使用cmd查看端口占用、相應(yīng)進(jìn)程、殺死進(jìn)程等的命令
這篇文章主要介紹了Tomcat 發(fā)布程序使用cmd查看端口占用、相應(yīng)進(jìn)程、殺死進(jìn)程等的命令的相關(guān)資料,需要的朋友可以參考下
2016-12-12
如何將Tomcat設(shè)置為自動(dòng)啟動(dòng)的服務(wù)最快捷方法
這篇文章主要介紹了如何將Tomcat設(shè)置為自動(dòng)啟動(dòng)的服務(wù)最快捷方法，小編覺(jué)得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
2018-11-11
IDEA中Tomcat配置問(wèn)題以及運(yùn)行報(bào)錯(cuò)的解決方案
這篇文章主要介紹了IDEA中Tomcat配置問(wèn)題以及運(yùn)行報(bào)錯(cuò)的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2023-11-11
Tomcat服務(wù)器配置https認(rèn)證(使用keytool生成證書)
本文主要介紹了Tomcat服務(wù)器配置https認(rèn)證，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2022-07-07