大家好!╭ァ�非異﹎!最近TOMCAT漏洞很火..本来不想这么早公布这个漏洞的修补方法,但网上出现一些教程的修补方法似乎有些..问题.有的甚至说把TOMCAT自启动删除(狂汗),首先给大家介绍一下TOMCAT,TOMCAt是apache组织开发一款免费的JEE servlet 容器,如果删除TOMCAT自启动重启以后网站是不能正常浏览的.
今天我就拿TOMCAT4来给大家作演示如果修补漏洞.
我先启动TOMCAT 我这个是没有改密码的都是: admin 看可以进去的..
先上传SHELL,OK - Installed application at context path /shell
然后我们找到TOMCAT的安装目录 这儿是: D:\java\tomcat4\ 再找到CONF目录tomcat-users.xml这个文件
文件完整的路径也就是:TOMCAT的安装目录\conf\tomcat-users.xml;
我们编辑它
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="admin" password="admin" roles="admin,manager"/>
</tomcat-users>
看到没有role 指的是权限
这儿有两种修改方法一种是改用户名或密码,一种是改权限,
我们先改用第一种试下
<user username="admin" password="FException" roles="admin,manager"/>
admin不行了.我们试下FException看,是可以的..
再用第二种试下
<user username="admin" password="admin" roles="admin"/>---注意去掉了manager权限
然后重启TOMCAT 注意TOMCAT修改是要重启的..他是在重启的时候加载配置文件
