看小菜如何搞定Tomcat

最新推荐文章于 2025-07-23 20:22:45 发布
最新推荐文章于 2025-07-23 20:22:45 发布
阅读量476 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全技术 文章标签: tomcat jsp apache servlet web服务 iis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linkboy2004/article/details/2042315
本文介绍如何通过未修改默认设置的Tomcat服务器获取管理权限,并上传包含JSP马的WAR文件以实现对网站的控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导读:
  PS: 文章没什么技术含量. 只不过某XX豆豆说黑手没写过tomcat 后台拿SHELL的文章 所以偶就小写一下啦~
  嘿嘿。想想偶们这些小菜也不能整天的只玩ASP了。 要玩也应该换着花样玩! 这次偶给大家带来的是关于利用tomcat的后台来搞定整个
  网站! 我们知道windwos的IIS是不能支持JSP的 如果想要支持JSP必须要装有Apache跟tomcat IIS是不支持JSP的 那么什么是tomcat呢?
  (小知识:Tomcat是Apache-Jarkarta的一个子项目,是一个开放式原码,免费支持JSP和Servlet技术的容器,它同时又是一个Web服务器软件.
  实际就是Apache为.html页面服务,而tomcat实际上运行.jsp页面和servlet的东西。)
  我们知道一个服务器安装了Apache Tomcat后会开放8080端口供外部连接 我们直接在IE上访问 域名/IP:8080 就可以直接连接到Apache Tomcat的页面 如图1
  
  
  
  而有很多对tomcat不是很了解的管理员在安装完Tomcat后并没有修改默认密码(用户名admin,密码为空),这样就我们就可以直接登录进去。
  tomcat有两个目录可以访问:在这里/admin 目录我不做过多的解释 因为 /admin 目录下的利用:
  Service--host--actions--Create New Context建立虚拟目录Document Base来浏览目录用的 对于我们小菜来说有点麻烦
  我直接介绍第二种方法 直接在域名后输入http://xxxxx:8080/manager/html或者点击Apache Tomcat页面上的Tomcat Manager 在弹出的要求输入口令的地方用户写admin 密码为空 就可以直接得到tomcat管理权限
  如图2
  
  
  
  如图3
  
  
  
  进去之后我们会看见有个浏览上传文件的地方.但是各位不要以为在这里直接传我们的JSP马就可以了。因为
  这里只可以可以直接上传war文件(用于远程管理tomcat服务的脚本文件),来自动建立虚拟目录,因此你可以将你的jsp马用ant打包到war里面,然后上传之后,访问这个虚拟目录下你的jsp马就OK了。 光说没用 我们直接试一下
  我们上传一个名为job.war的文件 里面包含了我们的JSP马 注意格式一定要是WAR的然不可以上传
  上传成功后我们访问http://ip/job/index.jsp就可以看见我们的JSP马了
  如图4
  
  
  
  如图5
  
  
  
  OK 至此我们已经成功的拿到了网站的WEBSHELL 嘿嘿 JSP的权限可是很大的哦。

全渠道零售中台与数字化转型(1)-中台的前世今身
打造全国最全的AI Agent开发知识领域的博客
06-25 9876
本系列博客的目标是计划使用近半年时间创造: 国内唯一一部从业务场景到技术设计,从企业战略考虑到技术细节落地的大全; 全文贯穿了企业架构、SOA、微服务,纵横业务与技术之间説透“全渠道”中台; 全渠道零售中台与数字化转型(1)-中台的前世今身 全渠道零售中台与数字化转型(2)-中台给企业业务带来什么实际的价值 全渠道零售中台与数字化转型(3)-中台给企业技术带来什么实际的价值? 全渠...
BAT 大厂Java 面试题集锦之核心篇附参考答案
热门推荐
AI天才研究院
11-05 1万+
核心篇数据结构与算法网路:TCP/IP,HTTP操作系统, 文件, shell, CPU, IO, epoll, 非阻塞IO,进程/线程/协程,锁HashMap, Co...
Tomcat And Servlet (1)
mu_tong_的博客
03-23 667
本文主要内容 : 什么是 TomcatServletServlet API
docker tomcat 多开 实例_Docker 快速验证 tomcat 单机多实例方案
weixin_39584571的博客
12-19 137
主要讲的是解决问题的思路。当然也附带了尽可能详细的步骤,感兴趣的童鞋可以一步一步跟着来实践一把。因为运维职业的缘故,基本上是把事故当故事来写了,希望能够喜欢。缘起至少10年了,没在一线玩过 Tomcat 了,这次客户现场就来了一场遭遇战。虽然客户说了他来搭建,但是项目进度不等人,还是自己动手吧。当然了,新服务器是要走流程申请的,只能在现有服务器想办法。犹记得当年解决 Tomcat 部署这些都是小菜...
docker tomcat 多开 实例_Docker快速验证tomcat单机多实例方案
weixin_39812533的博客
12-19 235
Docker快速验证tomcat单机多实例方案[TOC]概述主要讲的是解决问题的思路。当然也附带了尽可能详细的步骤,感兴趣的童鞋可以一步一步跟着来实践一把。因为运维职业的缘故,基本上是把事故当故事来写了,希望能够喜欢。缘起至少10年了,没在一线玩过Tomcat了,这次客户现场就来了一场遭遇战。虽然客户说了他来搭建,但是项目进度不等人,还是自己动手吧。当然了,新服务器是要走流程申请的,只能在现有服务...
Linux下部署tomcat,启动时8005端口无法启动
qq_39745721的博客
06-08 1669
问题描述: 今天在公司的服务器上部署tomcat的项目,前端包、后端包甩到webapps文件夹下面去! ok!搞定!启动服务! tail -f logs/c
超详细的基于ssm框架的简单学生信息查询,附带tomcat部署
weixin_53211817的博客
03-02 726
本文将通过一个的ssm完整开发流程,详细介绍如何整合 Spring、Spring MVC 和 MyBatis(SSM)框架,涵盖环境搭建、配置详解、功能开发及常见问题解决。适合 Java 开发新手快速上手企业级项目开发。没有什么功能,旨在打通ssm框架流程。我用的IntelliJ IDEA2021.3.1,jdk版本为1.8.0_261,tomcat版本为8.5.29,mysql版本为8.0.30。
知识小罐头07(tomcat8请求源码分析 下)
dhno28304的博客
12-22 143
  感觉最近想偷懒了,哎,强迫自己也要写点东西,偷懒可是会上瘾的,嘿嘿!一有写博客的想法要赶紧行动起来,养成良好的习惯。   ok,继续上一篇所说的一些东西,上一篇说到Connector包装了那两个对象,最后变成了HttpServletRequest和HttpServletResponse对象,这两个对象应该就是原生servlet的service方法可以使用的了,但是隔了这么多堵墙,要...
Linux下jvm、tomcat、mysql、log4j优化配置笔记
codepython的专栏
04-13 458
           云主机配置大致为:centeos6(32位),4核心cpu,4G内存,5M独享带宽。         一、jvm内存优化方案。            要优化服务器,首先从jvm入手,分配好jvm内存,配置方案如下:          declare -x JAVA_OPTS="-server -Xms1280M -Xmx1280M -Xmn512M -
利用Tomcat的用户名和密码构建“永久”后门
weixin_33850015的博客
11-12 389
利用Tomcat的用户名和密码构建“永久”后门 Simeon 从本案例中可以学到: (1)关于JSP的一些基础知识 (2)利用Tomcat的用户名和密码来构建后门 本文首先要感谢《黑客手册》“非安全.后生”编辑为本为提供了帮助,还要感谢网友“伤心的鱼”,本文借鉴了“看小菜如何搞定tomcat”一文中的思路,该文中提供的war生成比较模糊,且操作复杂,本文...
Docker快速验证tomcat单机多实例方案
weixin_34319640的博客
08-05 210
为什么80%的码农都做不了架构师?>>> ...
JMeter并发测试全攻略:从压测执行到性能优化,一站式搞定系统瓶颈
菜狗小测试
07-12 386
本文将从 JMeter 并发测试的基础流程讲起,重点拆解**性能瓶颈定位方法**和**全链路优化策略**,结合实战案例说明如何将测试数据转化为系统优化方案,让你的系统在高并发下依然“稳如泰山”。
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 3611
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
非常哇塞的 SpringBoot性能优化长文!
m0_71777195的博客
07-07 1286
SpringBoot已经成为Java届的No.1框架,每天都在蹂躏着数百万的程序员们。当服务的压力上升,对SpringBoot服务的优化就会被提上议程。本文将详细讲解SpringBoot服务优化的一般思路,并附上若干篇辅助文章作为开胃菜。本文较长,最适合收藏之。在开始对服务进行性能优化之前,我们需要做一些准备,把服务的一些数据暴露出来。比如,你的服务用到了缓存,就需要把缓存命中率这些数据进行收集;用到了数据库连接池,就需要把连接池的参数给暴露出来。我们这里采用的监控工具是,它是一个是时序数据库,能够存储我们
SpringBoot 内嵌 Tomcat 的相关配置
最新发布
Frank 的博客
07-23 136
针对 application.properties 文件。
MyBatisPlus
2402_88116813的博客
07-22 663
更新id为1、2、4的三条数据的balance减少200,之前写的这种方式把sql语句中的其中一部分写在了业务层。@Test可以改用利用MyBatisBlus的Wrapper来构建复杂的Where条件,然后自己定义SQL语句中剩下的部分。基于Wrapper构建where条件@Test在mapper方法参数中用Param注解声明wrapper变量名称,必须是ew自定义SQL,并使用wrapper条件。
An error occurred at line: 1 in the generated java file问题处理及tomcat指定对应的jdk运行
chunzhi128的博客
07-22 269
机器上有多个应用,一个jdk8已配置了环境变量,kettle用到了,一个tomcat7.0.28用到了jdk7。已知jdk11 路径: /home/jdk1.7.0.62。
Web服务器(Tomcat、项目部署)
weixin_71219171的博客
07-22 862
Web服务器的作用:封装HTTP协议操作,简化开发。可以将Web项目部署到服务器中,对外提供网上浏览服务Tomcat是一个轻量级的Web服务器,支持Servlet/JSP少量JavaEE规范,也称为Web容器,Servlet容器。
IDEA中使用Tomcat两种方式
qq_43494013的博客
07-20 927
IDEA中使用Tomcat两种方式
一步搞定Eclipse离线安装Tomcat插件指南
为了在Eclipse中方便地管理和部署Tomcat服务器,开发者可以安装专门的Tomcat插件。 Tomcat插件通常以jar包的形式存在,开发者可以下载后直接放置在Eclipse的plugins目录下,通过这种方式,可以无须联网安装,即为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值