去读一下tomcat/conf下的tomcat-user.xml文件,看能不能读出来tomcat的连接帐号和口令,没有manager权限的也是无法通过web方式进行管理的。
在读一下x:\Documents and Settings\All Users文件夹看看权限是否可写。 有不对的地方请指教~~ 2009/3/27 ymcn <[email protected]> > http://www.xxx.com/News/list.jsp?canne=%B1%A8%B5%C0 > > quotes_gpc on > > user:r...@localhost > systemuser:r...@localhost > session:r...@localhost > > 可以读取C:\ D:\大部分的数据 > > 但是找不到后台!!!!只有一个tomcat后台 5.0.28(默认密码不对) > 找了几个mirr00 exp也不行! > http://www.xxx.com/manager/ > http://www.xxx.com/sys/ > 可以浏览目录 > 找到别人的一个jsp木马!不知道密码 > > 旁注找到4个网站 > www.123.com > www.1234.com > www.12345.com > www.123456.com > 找到一个asp小马(旁注帮手) > 有一个参考路径 > E:\wwwroot\123\DataBackup\help.asp > > 三个网站的目录被锁定为只读,我是根据第一个猜后面几个的! > > 只有一个可以写!但是web访问不了(写入地址E:\wwwroot\123456\123.txt) > (可能绝对地址不对,如果可以爆出绝对地址,那就好说了) > > (另外我用注点读出了我写进去的123.txt) > > 我比较菜!真不知道怎么爆 jsp网站的绝对路行或asp的 > 谢谢! > > > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
