手动判断 tomcat、JBOSS 指定目录是否存在

admin 2021年4月3日19:33:39评论69 views字数 731阅读2分26秒阅读模式

有时需要猜测网站存在哪些目录,看看有没有什么敏感目录,但是服务器是tomcat的话,它不像IIS一样,存在目录会有回显提示。

不管目录存不存在,tomcat都是“HTTP Status 404 -"那么到底如何准确判断呢。

其实,tomcat也是可以通过回显判断的。

直接上例子:

看这个:http://219.233.203.133:8500/,我们手工猜测他的目录。

第一步:

构造:http://219.233.203.133:8500/manage

看回显:HTTP Status 404 - /manage

看地址栏的地址:http://219.233.203.133:8500/manage

第二步:

构造:http://219.233.203.133:8500/manager,注意,后面不要加“/”

回显:HTTP Status 404 - /manager/

地址栏:http://219.233.203.133:8500/manager/

那么可以肯定,存在manager目录,不存在manage目录,就是说,如果存在该目录,那么在地址栏和回显(HTTP状态码)会给目录后面加上“/”.

只测试了6.0及6.0以上的版本,以下的应该也会是这样,JBOSS也一样,一个小技巧。

文章来源于lcx.cc:手动判断 tomcat、JBOSS 指定目录是否存在

相关推荐: Jboss JMX/EJBInvokerServlet、HtmlAdaptor漏洞利用工具

昨天花了一点时间去看以前的Jboss漏洞,选了俩比较实用的写了个小工具。 第一个漏洞主要是写去年十月份的那个deploy有点小问题:Apache Tomcat/JBoss EJBInvokerServlet / JMXInvokerServlet (RMI o…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日19:33:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   手动判断 tomcat、JBOSS 指定目录是否存在http://cn-sec.com/archives/323531.html

发表评论

匿名网友 填写信息