一、实验目的:利用tomcat管理台默认口令漏洞,上传木马文件,获得目标主机webshell;
二、实验原理:tomcat管理台安装好后需要及时修改默认管理账户,并杜绝弱口令,成功登录者可以部署任意web应用,包括webshell.
三、实验步骤:
- nmap -sV 192.168.1.3 ,扫描目标主机端口服务,发现开放8180端口并且运行着Apache Tomcat/CoyoteJSP engine 1.1
- 进入http://192.168.1.3:8180 , 进入Tomcat页面,点击左侧Tomcat manager,打开后台管理页面,输入默认账户密码:tomcat tomcat,进入之后,点击browse,选择home下的hacker.war文件,单击deploy按钮,上传木马,生成hacker目录,进入http://192.168.1.3:8180/hacker/index.jsp , 用密码进入webshell.
网友评论