渗透tomcat经验

1、发现响应头部是

Server: Apache-Coyote/1.1

即tomcat的一种框架。

2、测试tomcat的几种漏洞

2.1 首先是put 文件上传

(1)基于OPTIONS查看支持的方法是否包含PUT

(2)实际测试,PUT方法,报403。响应体部包含输出tomcat版本号信息

Apache Tomcat/8.0.23 - Error report

(3)可知,该版本不存在put漏洞

2.2 后台弱口令

访问/manage/html,报404

2.3 ajp

nmap扫描8009端口,不是关闭状态,继续

msf去测试

2.4 篡改页面,查看响应是否包含路径

posted @   挖洞404  阅读(253)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
点击右上角即可分享
微信分享提示