菜鳥(niǎo)也來(lái)玩新鮮，從Ｔｏｍｃａｔ到３３８９肉雞

前段時(shí)間，網(wǎng)絡(luò)上突然冒出了許多Tomcat服務(wù)器攻擊工具，Tomcat出了什么新漏洞嗎?其實(shí)這些工具，不過(guò)是利用了Tomcat服務(wù)器配置不當(dāng)?shù)目彰艽a漏洞而已。不過(guò)小菜們可能連Tomcat都沒(méi)有聽(tīng)說(shuō)過(guò)，對(duì)攻擊Tomcat更是一無(wú)所知了，因此這些攻擊工具也是可望而不可即。不過(guò)好在傻瓜化的工具很快就被高手們發(fā)布出來(lái)，今天我就帶領(lǐng)小菜們也來(lái)一場(chǎng)Tomcat入侵之旅……

Tomcat服務(wù)器漏洞簡(jiǎn)介

Tomcat服務(wù)器是一個(gè)免費(fèi)的開(kāi)放源代碼的Web應(yīng)用服務(wù)器程序，與常見(jiàn)的IIS服務(wù)器不同，Tomcat服務(wù)器可支持JSP網(wǎng)頁(yè)程序，是搭建JSP網(wǎng)站的首選程序。Tomcat服務(wù)器是使用內(nèi)置的“Tomcat Web Applicatlon Manager”程序進(jìn)行服務(wù)管理(如圖1)，這個(gè)程序是一個(gè)頁(yè)面程序，默認(rèn)通過(guò)8080端口訪問(wèn)，并需要進(jìn)行登錄驗(yàn)證才可進(jìn)行管理。但是由于Tomcat服務(wù)器的安全問(wèn)題并未得到重視，許多網(wǎng)站管理員往往使用空/弱口令或默認(rèn)的登錄密碼，從而導(dǎo)致了漏洞的出現(xiàn)。我們就可利用猜解破解密碼，登錄并上傳木馬，從而控制整個(gè)服務(wù)器。

“注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”。