tomcat 支援在後台部署war檔案,可以直接將webshell部署到web目錄下。
若後台管理頁面存在弱口令,則可以通過爆破獲取密碼。
tomcat安裝目錄下conf裡的tomcat-users.xml配置如下:
訪問後台,登陸:
上傳乙個war包,裡面是jsp後門:
成功上傳並解析,開啟:
可執行系統命令:
也可進行檔案管理,任意檢視、刪除、上傳檔案:
1)在系統上以低許可權執行tomcat應用程式。建立乙個專門的 tomcat服務使用者,該使用者只能擁有一組最小許可權(例如不允許遠端登入)。
2)增加對於本地和基於證書的身份驗證,部署賬戶鎖定機制(對於集中式認證,目錄服務也要做相應配置)。在catalina_home/conf/web.xml檔案設定鎖定機制和時間超時限制。
3)以及針對manager-gui/manager-status/manager-script等目錄頁面設定最小許可權訪問限制。
4)後台管理避免弱口令。
Docker部署 Tomcat並部署 war 包
通過docker 直接 部署 tomcat,不需要再考慮伺服器上的jdk 安裝及環境變數配置等複雜操作,映象裡已全部包含。映象拉取 預設拉取最新版本的映象 docker pull tomcat 根據指定版本拉取 可根據自身專案的 jdk 版本獲取,具體版本可以 進行搜尋 tomcat tags 進行...
在Windows系統上邊部署war包檔案
首先是將檔案匯出成war包的形式 在執行和部署之前,需要安裝和配置環境變數的 安裝jdk,配置環境變數 安裝mysql資料庫,配置環境變數,執行sql檔案使得資料庫中具有測試資料,在這裡需要配置資料庫中的庫,表和專案中的配置的資料庫部分的庫和表是一致的。解壓tomcat檔案包 然後去config下的...
Tomcat下部署war包
一般來講將war包直接扔到tomcat下面算部署成功了 在實際使用中碰到了乙個坑 也就是war扔進去路徑訪問不到 主要原因是因為war包得名字問題 需要在 tomcat下的conf檔案中 配置server.xml 檔案 unpackwars true autodeploy false xmlvali...