MENU

Java - 敏感配置文件位置

August 3, 2020 • Read: 570 • 信息收集阅读设置

0x00 前言

项目中常遇到Java站点,像SSM、springboot这些框架开发的通常一些配置文件都在固定的位置,当然还有Tomcat容器的配置文件。

0x01 记录

1.properies配置文件

这个文件的作用很重要,通常是一个JavaWeb项目中的配置文件,以.properies为文件后缀。在这个文件中常常可以找到项目的数据库配置信息IP账号密码等,还有就是有APK逆出来可能在这个文件中也会泄露例如邮箱之类的公用账号。

# xxx代指web应用名
\apache-tomcat-9.0.37\webapps\XXX\WEB-INF\classes\db.properties
\apache-tomcat-9.0.37\webapps\XXX\WEB-INF\classes\conn.properties
\apache-tomcat-9.0.37\webapps\XXX\WEB-INF\classes\config\db.properties
\apache-tomcat-9.0.37\webapps\XXX\WEB-INF\classes\config\conn.properties
# properties可能会叫一些跟业务相关的,比如oa.properies

2.tomcat-users.xml用户配置文件

tomcat-users.xml配置文件中,存储着tomcat的用户信息,账号和密码。

\apache-tomcat-9.0.37\conf\tomcat-users.xml

3.查找tomcat中web应用的部署位置

tomcat部署的三种方式,不同的部署可能存放的web应用位置不一,可以去按照这种规则去找路径。

(1)webapps

直接放到tomcat默认路径下,webapps中,启动tomcat。

\apache-tomcat-9.0.37\webapps\

# 如果放在根目录,可以直接放在ROOT下

\apache-tomcat-9.0.37\webapps\ROOT\

(2)虚拟路径映射

场景:在不想把项目放到tomcat的webapps目录下的时候,比如可以把web目录放到其他的盘。

Tips:实战中如果遇到这种部署,虽然web路径不好找,但是可以先找到xxx.xml。从其中获取到web的真正路径。

# 在路径下新增一个xxx.xml

\apache-tomcat-9.0.37\conf\Catalina\localhost\

# xxx.xml

<Context path="/xxx" docBase="d:\javaweb_war_exploded" />

(3)server.xml指定

在tomcat的server.xml中也可以指定web应用部署的位置,跟虚拟路径映射有点像。

# 修改server.xml内容

\apache-tomcat-9.0.37\conf\server.xml

# server.xml 加一行

<Context path="/xxx2" docBase="E:\\javaweb_war_exploded" />

原文作者:Keefe

原文链接:Java - 敏感配置文件位置

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可