war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????

2024-06-11 02:52
文章标签 部署 war 知道 看见 后门

本文主要是介绍war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在漏洞复现的时候做了一道war后门文件部署的,然后我们就要去了解什么是war包然后这个漏洞实现要有什么情况??为什么要进行部署??

war包在哪些地方可以实现???

war是一种java web应用程序打包格式,是把java web应用的相关文件打包成一个单独的文件,war包含了web应用程序的静态资源文件(html,css,js)和服务器java类文件(jsp,servlet),配置文件以及其他必要的文件war是为了方便开发人员轻松把应用程序部署到服务器上,不用手动复制和配置每一个文件。

war包应用于servlet规范的java服务器上比较常见的是tomacat,然后jboss以及jetty这些

像其他的我们熟悉的nginx,apache,都不能直接支持war包的部署,你想用的话,就要与java应用服务器结合使用。间接的实现war包的部署和运行。

什么是war包?

简单点来说这个就是你可以理解为是一个压缩包可以快速搭建起web应用程序,war文件代表一个web应用程序。

我们上传服务器过后,比如说是tomcat的然后在进行解压自动部署为web应用

我们来看看漏洞复现是操作:

我们先使用弱口令登录到对方服务器的后台然后在进行操作

下面的这点是要进行操作的:我们要知道对方的账号和密码

才可以知道进行getwhell(这点要登录才可以)重点重点重点  后面在对这点进行说明

然后我们用bp进行简单的爆破,看他的账号和密码是多少

然后这点就不演示了,账号是tomcat密码也是tomcat

然后我们在进行上传文件也就是我们的war文件

我们先用哥斯拉进行生成jap代码,然后进行压缩成war包的操作

生成为zz.jsp代码文件,然后在进行压缩成war代码,我们先来到当前的目录

使用下面的命令进行操作  jar  cvf 名字 名字    这样来进行压缩文件

c是创建档案   v是在标准输出中生成详细输出  f为档案名   这个就是cvf参数操作

生成成功我们在进行上传,后面在进行连接就成功了,tomacat会自己解压然后进行部署的

路径你怎么知道,有人就会问了,如果没有进行更改的话默认是在相同文件名的目录下的文件夹下面,那我们来进行访问看看是不是可以访问成功???

访问到了我们在用哥斯拉来进行连接操作,看看是不是可以真的访问到???

进入过后在目录下面找到flag或者基础信息中看见flag。

这点就差不多这个漏洞就复现完整了。

为什么不能在前端的的时候上传war包呢??

我们来说说为什么要登录过后才可以上传war为什么要登录,以及我先开始有一个疑问为什么不能在前端的的时候上传war包呢??我下面就来仔细的说说

进行前端上传的时候,服务器是不会自动的对这个war包进行部署的服务器是不会主动监视前端上传的文件,把他部署为应用。服务器会等到系统管理员的同意或者管理员手动进行部署。

这点也就是说明了我们前面为什么必须要进行登录才可以上传这个war文件了。

总结一下那个漏洞的重点:我们要知道的地方

  1. war包是什么?
  2. 上传过后路径大概是什么?
  3. 为什么要上传jsp马,php不行吗
  4. 前端可以进行上传war包吗,为什么要登录到后台才上传war包

 

这篇关于war后门文件部署 什么是war后门文件 为什么要部署???看见war后门文件部署你知道????的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1050014

相关文章

MySQL 主从复制部署及验证(示例详解)

《MySQL主从复制部署及验证(示例详解)》本文介绍MySQL主从复制部署步骤及学校管理数据库创建脚本,包含表结构设计、示例数据插入和查询语句,用于验证主从同步功能,感兴趣的朋友一起看看吧... 目录mysql 主从复制部署指南部署步骤1.环境准备2. 主服务器配置3. 创建复制用户4. 获取主服务器状态5

golang程序打包成脚本部署到Linux系统方式

《golang程序打包成脚本部署到Linux系统方式》Golang程序通过本地编译(设置GOOS为linux生成无后缀二进制文件),上传至Linux服务器后赋权执行,使用nohup命令实现后台运行,完... 目录本地编译golang程序上传Golang二进制文件到linux服务器总结本地编译Golang程序

如何在Ubuntu 24.04上部署Zabbix 7.0对服务器进行监控

《如何在Ubuntu24.04上部署Zabbix7.0对服务器进行监控》在Ubuntu24.04上部署Zabbix7.0监控阿里云ECS服务器,需配置MariaDB数据库、开放10050/1005... 目录软硬件信息部署步骤步骤 1:安装并配置mariadb步骤 2:安装Zabbix 7.0 Server

Python中你不知道的gzip高级用法分享

《Python中你不知道的gzip高级用法分享》在当今大数据时代,数据存储和传输成本已成为每个开发者必须考虑的问题,Python内置的gzip模块提供了一种简单高效的解决方案,下面小编就来和大家详细讲... 目录前言:为什么数据压缩如此重要1. gzip 模块基础介绍2. 基本压缩与解压缩操作2.1 压缩文

Web技术与Nginx网站环境部署教程

《Web技术与Nginx网站环境部署教程》:本文主要介绍Web技术与Nginx网站环境部署教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、Web基础1.域名系统DNS2.Hosts文件3.DNS4.域名注册二.网页与html1.网页概述2.HTML概述3.

Nginx使用Keepalived部署web集群(高可用高性能负载均衡)实战案例

《Nginx使用Keepalived部署web集群(高可用高性能负载均衡)实战案例》本文介绍Nginx+Keepalived实现Web集群高可用负载均衡的部署与测试,涵盖架构设计、环境配置、健康检查、... 目录前言一、架构设计二、环境准备三、案例部署配置 前端 Keepalived配置 前端 Nginx

ubuntu如何部署Dify以及安装Docker? Dify安装部署指南

《ubuntu如何部署Dify以及安装Docker?Dify安装部署指南》Dify是一个开源的大模型应用开发平台,允许用户快速构建和部署基于大语言模型的应用,ubuntu如何部署Dify呢?详细请... Dify是个不错的开源LLM应用开发平台,提供从 Agent 构建到 AI workflow 编排、RA

ubuntu16.04如何部署dify? 在Linux上安装部署Dify的技巧

《ubuntu16.04如何部署dify?在Linux上安装部署Dify的技巧》随着云计算和容器技术的快速发展,Docker已经成为现代软件开发和部署的重要工具之一,Dify作为一款优秀的云原生应用... Dify 是一个基于 docker 的工作流管理工具,旨在简化机器学习和数据科学领域的多步骤工作流。它

Nginx部署React项目时重定向循环问题的解决方案

《Nginx部署React项目时重定向循环问题的解决方案》Nginx在处理React项目请求时出现重定向循环,通常是由于`try_files`配置错误或`root`路径配置不当导致的,本文给大家详细介... 目录问题原因1. try_files 配置错误2. root 路径错误解决方法1. 检查 try_f

Spring Boot项目部署命令java -jar的各种参数及作用详解

《SpringBoot项目部署命令java-jar的各种参数及作用详解》:本文主要介绍SpringBoot项目部署命令java-jar的各种参数及作用的相关资料,包括设置内存大小、垃圾回收... 目录前言一、基础命令结构二、常见的 Java 命令参数1. 设置内存大小2. 配置垃圾回收器3. 配置线程栈大小