Tomcat服務器 安全設置第1/3頁

發布時間:2017-03-10 09:08 來源:互聯網 當前欄目:web技術類

另外,由于其功能比較單純需要我們進一步地進行設置。本機將從安全和功能兩方面談談基于Tomcat的Web服務器的部署,希望對大家有所幫助。

  環境描述

  OS:Windows Server 2003

  IP:192.168.1.12

  Tomcat:6.0.18

  1、安全測試

  (1).登錄后臺

  在Windows Server 2003上部署Tomcat,一切保持默認。然后登錄Tomcat后臺,其默認的后臺地址為:

  http://192.168.1.12:8080/manager/html。在瀏覽器中輸入該地址,回車后彈出登錄對話框,輸入默認的用戶名admin,默認的密碼為空,成功登錄后臺。(圖1)

(2).獲得Webshell

  在Tomcat的后臺有個WAR file to deploy模塊,通過其可以上傳WAR文件。Tomcat可以解析WAR文件,能夠將其解壓并生成web文件。我們將一個jsp格式的webshell用WinRar打包然后將其后綴改名為WAR(本例為gslw.war),這樣;一個WAR包就生成了。最后將其上傳到服務器,可以看到在Tomcat的后臺中多了一個名為/gslw的目錄,點擊該目錄打開該目錄jsp木馬就運行了,這樣就獲得了一個Webshell。(圖2)

(3).測試操作

  創建管理員

  Tomcat服務默認是以system權限運行的,因此該jsp木馬就繼承了其權限,幾乎可以對Web服務器進行所有的操作。比如啟動服務、刪除/創建/修改文件、創建用戶。我們以創建管理員用戶為例進行演示。運行jsp木馬的“命令行”模塊,分別輸入命令net user test test168 /add和net localgroup administrators test /add,這樣就創建了一個具有管理員權限的test用戶,其密碼為test168。(圖3)

遠程登錄

  我們還可以進一步地滲透,比如通過“遠程桌面”登錄Web服務器。輸入命令netstat -ano查看該服務器的3389端口是關閉的。我們可以利用webshell上傳一個工具,利用其開啟Web服務器的遠程桌面。最后,我們就可以成功登錄系統,至此整個Web淪陷。(圖4)

當前1/3頁 123下一頁閱讀全文
  • 1、
  • 2、
  • 3、
  • 4、
  • 5、
  • 6、
  • 7、
  • 8、
  • 9、
  • 10、
  • 11、
  • 12、
  • 13、
  • 14、
  • 15、
  • 16、
  • 17、
  • 18、
  • 19、
  • 20、
  • 21、
  • 22、
  • 23、
  • 24、
  • 25、
  • 1、
  • 2、
  • 3、
  • 4、
  • 5、
  • 6、
  • 7、
  • 8、
  • 9、
  • 10、
  • 11、
  • 12、
  • 13、
  • 14、
  • 15、
  • 16、
  • 17、
  • 18、
  • 19、
  • 20、
  • 21、
  • 22、
  • 23、
  • 24、
  • 25、