Tomcat 利用PUT协议上传文件漏洞复现
前言
前两天挖洞的时候做信息收集的时候找到一个网站的一个目录下是Tomcat的初始化界面
所以尝试了一下这个PUT协议上传漏洞,发现返回403权限。所以这个漏洞利用不了
就尝试自己搭一个能利用这个漏洞的Tomcat服务复现一下
复现过程
搭建靶机环境
当没配置conf文件时,尝试使用PUT协议写入webshell
可以看到是禁止写入的,没有权限
修改配置文件,重启tomcat服务
成功创建文件,访问显示文件内容
前两天挖洞的时候做信息收集的时候找到一个网站的一个目录下是Tomcat的初始化界面
所以尝试了一下这个PUT协议上传漏洞,发现返回403权限。所以这个漏洞利用不了
就尝试自己搭一个能利用这个漏洞的Tomcat服务复现一下
搭建靶机环境
当没配置conf文件时,尝试使用PUT协议写入webshell
可以看到是禁止写入的,没有权限
修改配置文件,重启tomcat服务
成功创建文件,访问显示文件内容
浙公网安备 33010602011771号