Tomcat部署War包getshell

关于War包

War包一般是进行Web开发时一个网站Project下的所有代码,包括前台HTML/CSS/JS代码,
以及Java的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布
则也会打包成War包进行发布。War包可以放在Tomcat下的webapps或word目录,当Tomcat
服务器启动时,War包也会随之被解压后自动部署。

上传War包GetShell

• 找到后台猜密码然后登录

  
  tomcat_vul_background.png
  tomcat_vul_login.png
  tomcat_vul_war_login_success.png

• 上传War包
  先将jsp大马压缩为zip，再将zip后缀改名为war，然后上传war包
  

  tomcot_vul_put_war.png
  tomcot_vul_put_war_success.png
  tomcot_vul_visit_shell1.png
  tomcot_vul_visit_shell2.png

漏洞防御

• 后台使用强密码
• 删除Tomcat下的manager文件夹