如何通過tomcat入侵遠端計算機系統

今天真倒霉，學員通過tomcat黑了我的計算機!

下面先說說怎麼被黑的過程吧！我昨天講解在servlet程式中如何讀寫資源時，講到了如果乙個servlet或jsp程式能夠讀寫當前計算機上的任意目錄的話，那麼採用tomcat對外出租虛擬主機時，就會出現安全問題，因為別人上傳的servlet/jsp程式可以瀏覽伺服器上的所有目錄和修改伺服器上的檔案。我安排學員們自己做做這個實驗看看，沒想到，第二天上課後不久，我的計算上就彈出了「計算機即將被關閉」的通知訊息視窗，一些同學隨之開始哈哈大笑，我知道被他們黑了，便問了整個被黑的過程。

原來，一些同學昨晚被馮偉立（大二輟學）給黑了，今天反過來拿我的計算機開練！

原理如下：使用tomcat自帶的管理程式（manager）可以遠端管理tomcat伺服器上的所有web應用程式，包括建立和發布新的web應用程式。我在講解tomcat的manager程式時，講解了如何配置tomcat的安全帳戶，馮偉立記住了我課堂演示時的tomcat管理帳號（我當時也真沒想到這個管理帳號成了安全後門），他通過這個管理帳號就可將他的web應用程式部署到我的tomcat伺服器中。我以前也給學員們交過一些安全方面的知識，並提醒學員們時刻保持注意，當我昨天提醒大家servlet程式可以讀寫當前計算機上的任意目錄是個安全問題時，馮偉立便想到了通過servlet來啟動windows的乙個程序試試，當他利用晚上自習的時間嘗試成功後，就拿幾個同學的計算機試了試身手，因為大家都使用tomcat預設的管理帳號，所以，很容易進入。當同學們搞清楚怎麼回事後，等我今天上課時，就給我開了開玩笑，他們讓乙個servlet執行「shutdown -t 60」命令進行延時關機，接著又讓另乙個servlet執行「shutdown -a」命令取消關機，把我作弄了一把。

雖然計算機被黑了，但是我沒有生氣，反而有點高興！為啥？我為有這麼優秀的學員高興啊，他們聰明、愛思考、能吃苦，以後一定會有出息的。呵呵，每次一想起我這批學員，我內心總是忍不住泛起一陣喜悅之情。得天下之英才而育之，是人生一大幸事，我雖沒有育天下英才的才華，天下英才也不會為我而來，但就目前培訓班的學員，我教他們的感覺真的很爽、很舒服，我們教授的東西，他們基本上都能很快能學會，不僅如此，他們還能在我們講解內容的基礎上做出一些讓我很受啟發的研究。這麼多優秀的學員聚在一起，他們相互之間就能學到不少知識，置身於這樣的環境，受到這些優秀學員的影響，基礎稍差的學員受益更是非淺。

如何通過tomcat入侵遠端計算機系統

如何通過tomcat入侵遠端計算機系統

如何通過tomcat入侵遠端計算機系統

如何用linux遠端登入windows計算機

相關推薦