war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????

2024-06-11 02:52
文章标签 部署 war 知道 看见 后门

本文主要是介绍war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在漏洞复现的时候做了一道war后门文件部署的,然后我们就要去了解什么是war包然后这个漏洞实现要有什么情况??为什么要进行部署??

war包在哪些地方可以实现???

war是一种java web应用程序打包格式,是把java web应用的相关文件打包成一个单独的文件,war包含了web应用程序的静态资源文件(html,css,js)和服务器java类文件(jsp,servlet),配置文件以及其他必要的文件war是为了方便开发人员轻松把应用程序部署到服务器上,不用手动复制和配置每一个文件。

war包应用于servlet规范的java服务器上比较常见的是tomacat,然后jboss以及jetty这些

像其他的我们熟悉的nginx,apache,都不能直接支持war包的部署,你想用的话,就要与java应用服务器结合使用。间接的实现war包的部署和运行。

什么是war包?

简单点来说这个就是你可以理解为是一个压缩包可以快速搭建起web应用程序,war文件代表一个web应用程序。

我们上传服务器过后,比如说是tomcat的然后在进行解压自动部署为web应用

我们来看看漏洞复现是操作:

我们先使用弱口令登录到对方服务器的后台然后在进行操作

下面的这点是要进行操作的:我们要知道对方的账号和密码

才可以知道进行getwhell(这点要登录才可以)重点重点重点  后面在对这点进行说明

然后我们用bp进行简单的爆破,看他的账号和密码是多少

然后这点就不演示了,账号是tomcat密码也是tomcat

然后我们在进行上传文件也就是我们的war文件

我们先用哥斯拉进行生成jap代码,然后进行压缩成war包的操作

生成为zz.jsp代码文件,然后在进行压缩成war代码,我们先来到当前的目录

使用下面的命令进行操作  jar  cvf 名字 名字    这样来进行压缩文件

c是创建档案   v是在标准输出中生成详细输出  f为档案名   这个就是cvf参数操作

生成成功我们在进行上传,后面在进行连接就成功了,tomacat会自己解压然后进行部署的

路径你怎么知道,有人就会问了,如果没有进行更改的话默认是在相同文件名的目录下的文件夹下面,那我们来进行访问看看是不是可以访问成功???

访问到了我们在用哥斯拉来进行连接操作,看看是不是可以真的访问到???

进入过后在目录下面找到flag或者基础信息中看见flag。

这点就差不多这个漏洞就复现完整了。

为什么不能在前端的的时候上传war包呢??

我们来说说为什么要登录过后才可以上传war为什么要登录,以及我先开始有一个疑问为什么不能在前端的的时候上传war包呢??我下面就来仔细的说说

进行前端上传的时候,服务器是不会自动的对这个war包进行部署的服务器是不会主动监视前端上传的文件,把他部署为应用。服务器会等到系统管理员的同意或者管理员手动进行部署。

这点也就是说明了我们前面为什么必须要进行登录才可以上传这个war文件了。

总结一下那个漏洞的重点:我们要知道的地方

  1. war包是什么?
  2. 上传过后路径大概是什么?
  3. 为什么要上传jsp马,php不行吗
  4. 前端可以进行上传war包吗,为什么要登录到后台才上传war包

 

这篇关于war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1050014

相关文章

闲置电脑也能活出第二春?鲁大师AiNAS让你动动手指就能轻松部署

对于大多数人而言,在这个“数据爆炸”的时代或多或少都遇到过存储告急的情况,这使得“存储焦虑”不再是个别现象,而将会是随着软件的不断臃肿而越来越普遍的情况。从不少手机厂商都开始将存储上限提升至1TB可以见得,我们似乎正处在互联网信息飞速增长的阶段,对于存储的需求也将会不断扩大。对于苹果用户而言,这一问题愈发严峻,毕竟512GB和1TB版本的iPhone可不是人人都消费得起的,因此成熟的外置存储方案开

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

springboot3打包成war包,用tomcat8启动

1、在pom中,将打包类型改为war <packaging>war</packaging> 2、pom中排除SpringBoot内置的Tomcat容器并添加Tomcat依赖,用于编译和测试,         *依赖时一定设置 scope 为 provided (相当于 tomcat 依赖只在本地运行和测试的时候有效,         打包的时候会排除这个依赖)<scope>provided

在 Windows 上部署 gitblit

在 Windows 上部署 gitblit 在 Windows 上部署 gitblit 缘起gitblit 是什么安装JDK部署 gitblit 下载 gitblit 并解压配置登录注册为 windows 服务 修改 installService.cmd 文件运行 installService.cmd运行 gitblitw.exe查看 services.msc 缘起

Solr部署如何启动

Solr部署如何启动 Posted on 一月 10, 2013 in:  Solr入门 | 评论关闭 我刚接触solr,我要怎么启动,这是群里的朋友问得比较多的问题, solr最新版本下载地址: http://www.apache.org/dyn/closer.cgi/lucene/solr/ 1、准备环境 建立一个solr目录,把solr压缩包example目录下的内容复制

Spring Roo 实站( 一 )部署安装 第一个示例程序

转自:http://blog.csdn.net/jun55xiu/article/details/9380213 一:安装 注:可以参与官网spring-roo: static.springsource.org/spring-roo/reference/html/intro.html#intro-exploring-sampleROO_OPTS http://stati

828华为云征文|华为云Flexus X实例docker部署rancher并构建k8s集群

828华为云征文|华为云Flexus X实例docker部署rancher并构建k8s集群 华为云最近正在举办828 B2B企业节,Flexus X实例的促销力度非常大,特别适合那些对算力性能有高要求的小伙伴。如果你有自建MySQL、Redis、Nginx等服务的需求,一定不要错过这个机会。赶紧去看看吧! 什么是华为云Flexus X实例 华为云Flexus X实例云服务是新一代开箱即用、体

部署若依Spring boot项目

nohup和& nohup命令解释 nohup命令:nohup 是 no hang up 的缩写,就是不挂断的意思,但没有后台运行,终端不能标准输入。nohup :不挂断的运行,注意并没有后台运行的功能,就是指,用nohup运行命令可以使命令永久的执行下去,和用户终端没有关系,注意了nohup没有后台运行的意思;&才是后台运行在缺省情况下该作业的所有输出都被重定向到一个名为nohup.o

kubernetes集群部署Zabbix监控平台

一、zabbix介绍 1.zabbix简介 Zabbix是一个基于Web界面的分布式系统监控的企业级开源软件。可以监视各种系统与设备的参数,保障服务器及设备的安全运营。 2.zabbix特点 (1)安装与配置简单。 (2)可视化web管理界面。 (3)免费开源。 (4)支持中文。 (5)自动发现。 (6)分布式监控。 (7)实时绘图。 3.zabbix的主要功能

java计算机毕设课设—停车管理信息系统(附源码、文章、相关截图、部署视频)

这是什么系统? 资源获取方式在最下方 java计算机毕设课设—停车管理信息系统(附源码、文章、相关截图、部署视频) 停车管理信息系统是为了提升停车场的运营效率和管理水平而设计的综合性平台。系统涵盖用户信息管理、车位管理、收费管理、违规车辆处理等多个功能模块,旨在实现对停车场资源的高效配置和实时监控。此外,系统还提供了资讯管理和统计查询功能,帮助管理者及时发布信息并进行数据分析,为停车场的科学