war後門檔案部署

2021-10-07 20:11:14 字數 822 閱讀 1622

tomcat 支援在後台部署war檔案,可以直接將webshell部署到web目錄下。

若後台管理頁面存在弱口令,則可以通過爆破獲取密碼。

tomcat安裝目錄下conf裡的tomcat-users.xml配置如下:

訪問後台,登陸:

上傳乙個war包,裡面是jsp後門:

成功上傳並解析,開啟:

可執行系統命令:

也可進行檔案管理,任意檢視、刪除、上傳檔案:

1)在系統上以低許可權執行tomcat應用程式。建立乙個專門的 tomcat服務使用者,該使用者只能擁有一組最小許可權(例如不允許遠端登入)。

2)增加對於本地和基於證書的身份驗證,部署賬戶鎖定機制(對於集中式認證,目錄服務也要做相應配置)。在catalina_home/conf/web.xml檔案設定鎖定機制和時間超時限制。

3)以及針對manager-gui/manager-status/manager-script等目錄頁面設定最小許可權訪問限制。

4)後台管理避免弱口令。

Docker部署 Tomcat並部署 war 包

通過docker 直接 部署 tomcat,不需要再考慮伺服器上的jdk 安裝及環境變數配置等複雜操作,映象裡已全部包含。映象拉取 預設拉取最新版本的映象 docker pull tomcat 根據指定版本拉取 可根據自身專案的 jdk 版本獲取,具體版本可以 進行搜尋 tomcat tags 進行...

在Windows系統上邊部署war包檔案

首先是將檔案匯出成war包的形式 在執行和部署之前,需要安裝和配置環境變數的 安裝jdk,配置環境變數 安裝mysql資料庫,配置環境變數,執行sql檔案使得資料庫中具有測試資料,在這裡需要配置資料庫中的庫,表和專案中的配置的資料庫部分的庫和表是一致的。解壓tomcat檔案包 然後去config下的...

Tomcat下部署war包

一般來講將war包直接扔到tomcat下面算部署成功了 在實際使用中碰到了乙個坑 也就是war扔進去路徑訪問不到 主要原因是因為war包得名字問題 需要在 tomcat下的conf檔案中 配置server.xml 檔案 unpackwars true autodeploy false xmlvali...