简介
Apache Tomcat 是一个用于运行 Java Servlet 的服务器。该漏洞利用 Tomcat 管理后台的弱口令,攻击者可以登录后台并上传恶意文件或修改配置,从而获得服务器的 shell 访问权限,执行任意命令。
通关过程
Tomcat服务器首页
点击Manager APP可以进入Tomcat服务器后台
弱密码:tomcat:tomcat进入后台
此处可以上传文件,当把jsp文件打包压缩上传后后台会解析压缩包内的jsp文件
蚁剑生成木马
上传成功
访问木马所在地址
蚁剑成功连接并getshell
