如何获得tomcat后台权限?tomcat权限如何利用?
有些Tomcat安装之后没有修改默认密码(用户名admin,密码为空),这样就可以直接登录进去。
有两个目录可以访问:
/admin
/manager/html
/admin 目录下的利用:
Service--host--actions--Create New Context建立虚拟目录Document Base填你想浏览的目录,比如c:\,Path自己随便写,例如/guizai
然后直接http://ip/guizai 就可以看到c盘内容。
/manager/html 目录下的利用:
这里可以直接上传一个war文件(用于远程管理tomcat服务的脚本文件),来自动建立虚拟目录,因此你可以将你的jsp马用ant打包到war里面,然后上传之后,访问这个虚拟目录下你的jsp马就OK了。
以前我遇到过这种情况,但是用ant打了半天也没弄成功,最后google到一篇文章,文章名我忘了,作者是hyouhaku,当时他文章里说他打包好一个,并且在文章附件里提供了,但是那个附件链接失效了,我就又加他QQ,要过来了这个文件。
昨天在neeao那里看到“tomcat得到管理权限后的利用”又让我想起来了这个东西,neeao那里也发了一个war文件,这里我都发出来。
job.war.rar
no.war.rar
下载之后可以用winrar打开,里面的index.jsp是一个jsp马,你可以替换成你自己的。
注意:上传执行之前一定要将后缀名改为.war才行。job.war上传执行之后直接访问 http://ip/job 或者 http://ip/job/index.jsp 即可。no.war上传执行之后直接访问 http://ip/no 或者 http://ip/no/index.jsp 即可。
溯雪是什么?溯雪怎么使用?
一、关于溯雪1、由于种种原因,溯雪是一个英文的版本,欢迎有兴趣的朋友汉化。2、此次的说明书仅仅是一个快速的使用指南,如果您有兴趣,可以帮我写一个。如果没有人愿意写的话,那只好我自己写了。:-(3、这是一
详情2018-01-26 14:51:35责编:llp 来源:驱动管家struts2漏洞爆出 怎么解决struts2漏洞?
在2013年6月底发布的Struts 2 3 15版本被曝出存在重要的安全漏洞 ,主要问题如下:可远程执行服务器脚本代码用户可以构造http: host struts2-blank example X action?action:%25{(new+java lang ProcessBuilde
详情2018-01-17 16:25:11责编:llp 来源:驱动管家学习扫描入侵一条龙操作,帮助读者了解攻击和防御的知识
很多网上安全教程都介绍了如何通过百度和GOOGLE来搜索漏洞代码而发动攻击,这种文章在实际应用中没有什么价值,毕竟很多时候我们需要定点定位攻击目标服务器而不是这种广撒网覆盖形式的入侵。只有学会针对某定点
详情2018-02-16 21:05:09责编:llp 来源:驱动管家什么是个人隐私?怎么注重互联网的隐私保护?
现在一些社交网络和游戏都要求实名制,甚至有的还需要身份证号码,这就需要我们提高防范了,交易上所存在的个人隐私安全问题,大数据时代给个人隐私保护所带来的挑战,看看会有哪些环节泄露了我们自己的秘密吧。
详情2018-01-19 20:25:17责编:llp 来源:驱动管家ibm db2中有哪些加密函数?这些加密函数怎么用?
多年来,数据库已经能够阻止未经授权的人看到其中的数据,这通常是通过数据库管理器中的特权和权限来实现的。在当前的环境下,对存储数据的保密的需求日益增长。这意味着即使 DBA 对表中的数据有完全的访问权限
详情2018-02-25 09:48:31责编:llp 来源:驱动管家如何删除病毒危险文件cdaengine0400.dll?
cdaEngine0400 dll早期被报告为间谍软件,但新的报告显示该文件的新版本是干净的。我们仍然没有该文件,只提供删除说明。卸载通知WildTangentNotice删除WildTangent可能会导致该程序打包不能按预期的功能。卸载过
详情2018-02-14 11:55:17责编:llp 来源:驱动管家linux系统密码怎么破解?freebsd系统密码破解步骤
(一)Linux 系统密码破解在grub选项菜单按E进入编辑模式2 编辑kernel那行 init 1 (或 single)3 按B重启4 进入后执行下列命令root@ passwd root (设置root的密码)Enter new unix password:输入新的密码
详情2018-02-06 10:15:26责编:llp 来源:驱动管家sql server怎么加密?如何防范sql注入攻击?
SQL Server上内置了加密术用来保护各种类型的敏感数据。在很多时候,这个加密术对于你来说是完全透明的;当数据被存储时候被加密,它们被使用的时候就会自动加密。在其他的情况下,你可以选择数据是否要被加密。S
详情2018-01-16 08:54:03责编:llp 来源:驱动管家两种Microsoft SQL Server执行命令的方法都需要以sa权限为前提
现在很多计算机可以执行命令的方法都被人封得抓狂,就算有幸可以执行,也有可能CMD被改了权限,所以我推荐的办法是有能力的同学自己开发DLL,然后把DLL写入到对方计算机中,再注册为存储过程。两种Microsoft SQL
详情2018-01-23 14:50:54责编:llp 来源:驱动管家网站有哪些敌人?网站如何进行安全建设?
过去,网站的内容大多是静态的。随着HTML5的流行,Web应用进入一个崭新阶段,内容的动态化和实时共享让阻拦不良内容或恶意软件变得更加复杂,公司和个人的重要信息也被暴于极为危险的网络环境之下,对于网站安全
详情2018-02-08 20:24:18责编:llp 来源:驱动管家
- 不知道打印机驱动是否成功安装?试试这个方法
- word字体怎么增加?word字体增加的方法
- 单反相机镜头应该怎么选择?单反相机镜头选购技巧介绍
- 购买微距镜头什么最值得入手?微距镜头推荐
- BlackBerry OS已启动关闭计划 黑莓将进军高端安卓市场
- 酷派大观4mini评测 酷派大观4mini如何?
- web上最危险的安全漏洞:哈希算法漏洞
- 安卓手机截屏功能怎么使用?安卓手机怎么进行截屏操作?
- 宽带连接错误678是什么意思?怎么解决
- 酷派改变者s1有哪些版本?酷派改变者s1的详细参数配置
- 4g手机酷派8730l性能如何?这里有份体验评测
- sql注入获得webshell的原理 如何利用delphi得到webshell?
- cad制图需要做哪些提前准备的工作?cad制图参数设置方法
- 安卓手机模拟器怎么用?安卓手机模拟器BlueStacks教程
- 【游戏资讯】绝地求生新地图将于下月公布 海战地图要来了?
- 【游戏资讯】道高一尺魔高一丈 死亡回放亦被外挂攻陷
- 程序提示没有找到iertutil.dll是什么原因?iertutil.dll丢失怎么解决
- 酷派k1怎么样?酷派k1配置如何?
- 手机怎么省电?记住这些技巧就可以了
- excel函数是怎么设置的?excel函数排除指定数字的方法