渗透tomcat经验
1、发现响应头部是
Server: Apache-Coyote/1.1
即tomcat的一种框架。
2、测试tomcat的几种漏洞
2.1 首先是put 文件上传
(1)基于OPTIONS查看支持的方法是否包含PUT
(2)实际测试,PUT方法,报403。响应体部包含输出tomcat版本号信息
Apache Tomcat/8.0.23 - Error report
(3)可知,该版本不存在put漏洞
2.2 后台弱口令
访问/manage/html,报404
2.3 ajp
nmap扫描8009端口,不是关闭状态,继续
msf去测试
2.4 篡改页面,查看响应是否包含路径
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战