У меня есть сервер tomcat 6.x, 7.x и 8.x и Jboss 7.2.x AS, работающий в Windows. Я создал веб-приложение в каталоге webapps. Я изменил $TOMCAT_HOME/conf/web.xml и установил для параметра readonly значение false (по умолчанию это правда). Затем я запустил эксплойт https://www.exploit-db.com/exploits/42966/ -- это скрипт Python, который пытается загрузить полезную нагрузку с помощью HTTP PUT. Я запустил следующую командную строку:
python 42966.py -u http://localhost:9292/ExploitTest
Я получаю
1) Статус Http 404 (ресурс не найден) от tomcat 8.0.x,
2) Статус Http 400 (неверный запрос) от tomcat 6.x и
> 3) Статус HTTP 400 от tomcat 7.x.
Я ожидал, что запуск вышеуказанного эксплойта Python приведет к HTTP 201 (недавно созданный ресурс) на сервере tomcat. Что не так с эксплойтом? ИЛИ я неправильно настроил tomcat для уязвимости? Есть ли на основе curl или java или любой другой работающий эксплойт для этой уязвимости, который я могу использовать, чтобы убедиться, что мой сервер действительно уязвим или нет?