赞
踩
本文仅仅用于学习笔记关于渗透测试以及交流经验,请读者遵循《中华人民共和国网络安全法》,本文造成的任何违法行为与本文作者无关。
1.用空间测绘或者通过Nmap,goby扫描完成资产搜集之后,发现存在tomcat后门
发现可能存在通过tomcat后门上传木马获取服务器权限的漏洞
URL栏原地址后输入 /manager/html
弹出用户名 密码登录界面 默认用户名和密码都为tomcat
2. 准备爆破密码(默认密码tomcat:tomcat)
先用burpsuite抓个包吧
卧槽,怎么不是username:xxxx password:xxx形式的
这一串是什么藏话?????
导入decoder模块解码发现渊来是Base64的码 导入decoder解码
解码后发现原来只是 用户名:密码 这个格式
所以我们用burpsuite爆破密码的思路就
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。