有些 Tomcat 安装之后没有修改默认密码(用户名 admin ,密码为空)或者密码太过简单,这样别人就可以轻易登录进去。
A 登录 Tomcat 管理界面 。
大意的管理员们, 你看吧, 别人轻易就进了 Tomcat 的管理界面。
好戏马上要上场!!!!
B .发布你的木马到 Server 上
1. 找到 Deploy 项
制作或者上传一个 WAR 文件, 发布你为所欲为的程序吧, 如果没有, 我可以送你一个, 请看附件。
按下 Deploy ,发布成功!!!
然后去你的 Tomcat 安装目录下看看吧:
这个 index.jsp 里面的代码会干点什么坏事呢, 别太急, 马上分解!!!!
Oh , my god ! 竟然可以 访问到服务器上的所有硬盘, 及所有文件夹, 可以随便创建或者删除目录, 随便下载你想要的文件, 甚至可以随便上传文件, 比如一个 EXE 文件!
这太恐怖了吧!!!!
接下来的一幕, 保证让你对自己没有设置一个复杂的 Tomcat 管理密码而后悔到肠断掉!!!
按下页面最下面的一个按钮:
这是什么东西?
Dos , 对没有错, 这就是 Windows 的 Dos 窗口, 你操作它就像正在操作 Server 上的 Windows 的 Dos 界面一样方便, 要是你用 Format 命令干掉 C 盘, 那岂不是系统的灾难?又或者用它来启动一个 EXE 文件,或者是木马什么的, 你的网银账号还有地藏身吗?
下面来玩一些更酷的, 我用 Dos 创建一个用户, 并赋给它管理员的权限。
分别在 Command 里输入, 并提交!
net user temp {password+123} /add
net localgroup administrators temp /add
两条命令成功完成, 回到你的 Server 管理员底下看看发生了什么吧
看到没有, 在用户里我建立了一个新的用户 temp, 并且把它赋予了 Administrator 的权限。 你完全可以用一个远程登录的软件, 使用刚刚建立的用户, 登录到服务器上为所欲为了, 不会有任何人知道, 而且操作界面还相当方便!
所以敬告各位 Tomcat 的管理员和使用者, 在安装 Tomcat 的时候就要设置密码, 并且是一个不容易破解的密码, 不然哪天你的 Server 完全 裸露在天空底下而不自知, 到时候再来后悔就来不及了。
相关推荐
### 修改Tomcat默认主页知识点详解 #### 一、Tomcat简介与作用 Apache Tomcat是一款开源的Servlet容器,它能够使任何基于Java Servlets API和JavaServer Pages (JSP)技术的应用程序运行起来。Tomcat作为Java Web...
在Tomcat默认安装后,tomcat的主目录是webapps/root目录。 在conf文件夹下面找到server.xml 打开 在<hosts> ……中间添加一行 代码如下:”” docBase=”/usr/tomcat/apache-tomcat-8.5.11/webapps/guanwang” ...
Apache Tomcat 7.0.23 管理初始密码设置 ...Apache Tomcat 7.0.23 的管理初始密码设置是一个重要的安全机制,可以保护Web应用程序免受未经授权的访问和攻击。通过正确地设置用户和角色,可以确保系统的安全和稳定性。
Tomcat 配置文件数据库密码加密,增加factory属性和修改context.xml文件中密码为密文,在lib文件中添加自定义的factory类 代码是jdk1.8版本,包含简单的加密类和http请求,如果使用简单的加密,不需要引用额外的lib...
Tomcat攻击项目
### Tomcat连接池数据库密码加密解密方法详解 在企业级应用中,数据库的安全性尤为重要。其中,数据库连接池作为应用程序与数据库之间的桥梁,扮演着关键角色。然而,当数据库的用户名和密码直接硬编码在配置文件...
标题中的"Tomcat-8.5.28 无漏洞"意味着该版本已经对已知的安全问题进行了修补,确保了用户的服务器不会受到这些漏洞的影响。这通常涉及到开发团队对代码进行审查,并发布补丁以消除任何可能的安全隐患。 描述中提到...
Tomcat Manager 是 Tomcat 服务器提供的一个 Web 应用程序,用于管理和配置 Tomcat 服务器。它提供了一个基于 Web 的界面,允许用户远程管理 Tomcat 服务器,包括部署、停止、重启应用程序,查看服务器状态等。 ...
### Tomcat配置SSL全过程 #### 一、生成密钥库(Keystore) 在开始配置Tomcat使用SSL之前,首先需要创建一个密钥库文件。密钥库文件包含了服务器的私钥以及公钥证书,这对于安全地传输数据至关重要。 1. **打开...
3. **更改默认端口**:为了增加安全性,可以考虑更改Tomcat Manager默认使用的端口。 4. **测试登录**:启动Tomcat服务后,在浏览器中输入`http://localhost:8080/manager/html`,使用刚才配置的用户名和密码尝试...
tomcat配置默认访问项目,配置后可直接通过ip地址加端口号访问项目
在Tomcat服务器中,默认情况下,用于传递会话标识(即JSessionID)的Cookie名称为“JSESSIONID”。有时,出于安全考虑或其他需求,我们可能需要自定义这个名称。本文将详细介绍如何在不同版本的Tomcat中更改...
Tomcat 在 Eclipse 下的配置全过程 Tomcat 是一个非常流行的 servlet 引擎,广泛应用于 web 项目开发中。Eclipse 是一个功能强大且灵活的集成开发环境(IDE),它提供了许多插件来支持不同的开发任务。将 Tomcat 与...
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!
2. 黑客利用默认密码攻击的常见方式 黑客通常会利用自动化工具来尝试登录大量系统,这些工具会根据已知的默认账号密码列表对网络中的设备进行扫描和登录尝试。一旦成功,他们可能会对系统进行各种破坏活动,甚至...
Tomcat 的默认端口是 8080,攻击者可以据此运行扫描工具进行端口扫描,从而获取部署了 Tomcat 的服务器的信息。为了避免这种情况,我们可以更改 Tomcat 的默认端口,以免攻击者轻易地扫描到 Tomcat 服务器。 (3). ...