当前位置:   article > 正文

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_通过文档上传shell

通过文档上传shell

本文仅仅用于学习笔记关于渗透测试以及交流经验,请读者遵循《中华人民共和国网络安全法》,本文造成的任何违法行为与本文作者无关。

1.用空间测绘或者通过Nmap,goby扫描完成资产搜集之后,发现存在tomcat后门

      发现可能存在通过tomcat后门上传木马获取服务器权限的漏洞

      URL栏原地址后输入 /manager/html

      弹出用户名 密码登录界面 默认用户名和密码都为tomcat

2. 准备爆破密码(默认密码tomcat:tomcat)

    先用burpsuite抓个包吧

 卧槽,怎么不是username:xxxx password:xxx形式的

这一串是什么藏话?????

导入decoder模块解码发现渊来是Base64的码 导入decoder解码

解码后发现原来只是 用户名:密码 这个格式

所以我们用burpsuite爆破密码的思路就

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/756035?site
推荐阅读
相关标签
  

闽ICP备14008679号