WEB开发网
开发学院软件开发Java 打造安全的Tomcat服务器 阅读

打造安全的Tomcat服务器

 2009-09-20 00:00:00 来源:WEB开发网   
核心提示:tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,打造安全的Tomcat服务器,可以在一般的硬件平台上流畅运行,因此,分别输入命令net user test test168 /add和net localgroup administrators test /add,这样就创建了一个具有管理员权限的t

tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。另外,由于其功能比较单纯需要我们进一步地进行设置。

环境描述

OS:Windows Server 2003

IP:192.168.1.12

Tomcat:6.0.18

1、安全测试

(1).登录后台

在Windows Server 2003上部署Tomcat,一切保持默认。然后登录Tomcat后台,其默认的后台地址为:

http://192.168.1.12:8080/manager/html。在浏览器中输入该地址,回车后弹出登录对话框,输入默认的用户名admin,默认的密码为空,成功登录后台。(图1)

打造安全的Tomcat服务器

(2).获得Webshell

在Tomcat的后台有个WAR file to deploy模块,通过其可以上传WAR文件。Tomcat可以解析WAR文件,能够将其解压并生成web文件。我们将一个jsp格式的webshell 用WinRar打包然后将其后缀改名为WAR(本例为gslw.war),这样;一个WAR包就生成了。最后将其上传到服务器,可以看到在Tomcat的后台中多了一个名为/gslw的目录,点击该目录打开该目录jsp木马就运行了,这样就获得了一个Webshell。(图2)

打造安全的Tomcat服务器

(3).测试操作

创建<管理员

Tomcat服务默认是以system权限运行的,因此该jsp木马就继承了其权限,几乎可以对Web服务器进行所有的操作。比如启动服务、删除/创建 /修改文件、创建用户。我们以创建管理员用户为例进行演示。运行jsp木马的“命令行”模块,分别输入命令net user test test168 /add和net localgroup administrators test /add,这样就创建了一个具有管理员权限的test用户,其密码为test168。(图3)

1 2 3 4 5  下一页

Tags:打造 安全 Tomcat

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接