Apache Tomcat通过热部署war包远程执行命令

实验环境：

Windows server 2003 64

Java jdk1.7.0

Apache Tomcat 7.0.57

1.配置部署Java并配置环境变量

配置java环境变量的方法：1、右键点击【计算机】，选择【属性】，点击【高级系统设置】，打开环境变量设置；2、新建【JAVA_HOME】变量，并编辑【Path】变量；3、新建【Classpath】变量并编辑即可。

 

JAVA_HOME

变量值指的是实际的安装路径

例：C:Program FilesJavajdk-9

 

Path

%JAVA_HOME%in;%JAVA_HOME%jrein;

 

系统变量中点击进入【新建】

变量名键入【Classpath】

变量值键入【.;%JAVA_HOME%libdt.jar;%JAVA_HOME%lib ools.jar; 】

2.启动Tomcat

 

 注意 8080端口不要被占用

如果无法启动则大概率Java环境部署有问题，具体部署方法自行百度。

3.配置Tomcat

配置路径：C:apache-tomcat-7.0.57-windows-x86apache-tomcat-7.0.57conf

下的tomcat-users.xml文件

 

 添加：

<role rolename="manager-gui"/>

<user username="tomcat" password="tomcat" roles="manager-gui"/>

自行设置用户名密码

4.进入后台

点击manager webapp

输入配置的用户名与密码进入后台

在这里可以使用burpsuite进行密码爆破

如：

 输入密码账户都为123

抓包并使用beas64解码发现

 

可以配置进行密码爆破

配置字典与加密方式就可爆破出弱口令

5.使用

 能够看到Tomcat上的应用列表，可以对每一个项目进行管理：开启、关闭、重新加载、session管理等。而不用每次部署项目都重启整个Tomcat容器。

在项目列表下面是Deploy模块，这里提供了两种方式：

　　Deploy directory or WAR file located on server（通过填写应用路径来部署位于本服务器上的WAR文件或者目录）

　　WAR file to deploy（直接上传WAR文件部署）

  这里我们使用第二种，直接选择WAR文件，然后上传部署。新部署的项目就会更新到项目列表中。

6.上传

 选择war包进行上传部署

7.使用

 访问刚刚部署的war路径

可以对服务器进行管理和控制

8.防御方法

1.使用强口令

2.移除热部署war目录，关闭热部署。