最后更新于
最后更新于
Try Hard Security Group
为了避免以root身份运行Tomcat,一个非常常见的配置是在端口80/443上设置一个Apache服务器,如果请求的路径与正则表达式匹配,则将请求发送到在不同端口上运行的Tomcat。
bin
文件夹存储启动和运行Tomcat服务器所需的脚本和二进制文件。
conf
文件夹存储Tomcat使用的各种配置文件。
tomcat-users.xml
文件存储用户凭据及其分配的角色。
lib
文件夹保存Tomcat正确运行所需的各种JAR文件。
logs
和temp
文件夹存储临时日志文件。
webapps
文件夹是Tomcat的默认Web根目录,托管所有应用程序。work
文件夹充当缓存,用于在运行时存储数据。
预计webapps
内的每个文件夹具有以下结构。
以下是一个web.xml文件示例。
文件显示了每个角色manager-gui
、manager-script
、manager-jmx
和manager-status
提供的访问权限。在这个示例中,我们可以看到一个名为tomcat
,密码为tomcat
的用户具有manager-gui
角色,另外一个弱密码admin
被设置给了用户账户admin
Try Hard Security Group
最重要的文件之一是WEB-INF/web.xml
,也被称为部署描述符。该文件存储了应用程序使用的路由信息以及处理这些路由的类。
应用程序使用的所有编译类都应存储在WEB-INF/classes
文件夹中。这些类可能包含重要的业务逻辑以及敏感信息。这些文件中的任何漏洞都可能导致网站被完全攻陷。lib
文件夹存储了该特定应用程序所需的库。jsp
文件夹存储了,以前被称为JavaServer Pages
,可以与Apache服务器上的PHP文件进行比较。
您在网络安全公司工作吗?您想看到您的公司在HackTricks中被宣传吗?或者您想访问PEASS的最新版本或下载HackTricks的PDF吗?请查看!
发现我们的独家
获取
加入 Discord群组](https://discord.gg/hRep4RUj7f) 或电报群组或在Twitter上关注我🐦。
通过向和提交PR来分享您的黑客技巧。