Tomcat弱口令拿shell漏洞复现

释放双眼,带上耳机,听听看~!

一、漏洞复现前提条件
ps:本次搭建的Tomcat版本是Apache Tomcat/7.0.56
(1)首先tomcat web管理界面开启

(2)tomcat管理账号和密码均可以远程登录,本次使用的默认账号密码是tomcat/tomcat,登录成功如下图所示。


在这需要说明一下,一般默认安装的tomcat,虽然有web登录界面,但是默认账号和密码是无法登陆的,这时需要修改tomcat-users.xml里面的配置文件,修改成如下图所示。

二、漏洞测试过程
(1)弱口令爆破
一般情况开启了Tomcat的WEB管理,管理人员的习惯都喜欢将账号设为tomcat或者admin,此时由于管理人员的安全意识不足,有可能将密码设置为弱口令,渗透测试人员可通过爆破工具,进行密码的暴力破解,本次使用的是burp的Intruder模块。爆破过程如下所示。
1)首先输入账号“tomcat”,密码输入“tomcat”,通过burp进行抓包,如下图所示。


2)此时通过Intruder进行账号与密码的暴力破解,本次为了演示方便,仅将账号设为tomcat,爆破登录密码,爆破过程如下所示。
①首先选择需要爆破的base64编码的账号及密码,通过base64解密发现,账号和密码的组合方式是tomcat:tomcat,即是账号:密码,总共分为三段,如下图所示。

②选择Payload type模块为:Custom iterator,下面第一段是账号,此处填写为tomcat,如下图所示。

③下面第二段是填入”:”,如下图所示。

④第三段填入常用的弱密码,如下图所示。

⑤然后选择Base64编码模块,并且取消URL-encode these characters,如下图所示。

⑥最后开始进行暴力破解,破解出密码,如下图所示。通过base64解密,账号和密码均为tomcat。

⑦最后通过爆破的密码成功登录到tomcat管理平台,如下图所示。

(2) Apache tomcat manager成功登陆之后,可以通过上传WAR文件上传webshell。
1)首先是WAR木马的制作
①安装JDK
②将Customize.jsp小马放在JDK下的bin目录文件下,如下图所示。

③cmd进入到bin文件下,运行”jar cvf shell.warCustomize.jsp”,生成shell.war小马文件,如下图所示。


2)其次是上传war木马的过程
①登录,访问http://20.20.20.132:8080/manager/html,通过tomcat/tomcat即可成功登录到上传界面,上传含小马的WAR文件:shell.war,如下图所示。

②上传成功之后,在当前上传的页面可以看见有shell项目已成功部署,如下图所示。

③最后通过中国菜刀进行木马的连接,如下图所示。已经成功拿到shell。 http://20.20.20.132:8080/shell/Customize.jsp密码:chopper


三、漏洞修复建议
1、如果是已经上线的系统,尽量将tomcat管理登录的账号和密码进行禁用,上传新应用时,通过登录到服务器系统上进行搭建。
2、tomcat应用程序设置为系统所需的最低权限,防止攻击者拿到网站权限后,继而拿到服务器的权限。
3、增加对于本地和基于证书的身份验证,部署账户锁定机制(对于集中式认证,目录服务也要做相应配置)。在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制。防止暴力破解
4、针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
Web安全

犀牛(RhinOS)CMS 3.X任意文件下载漏洞(CVE-2018-18760)

2018-12-24 17:39:41

Web安全渗透测试

CVE-2018-1273 漏洞分析

2019-1-2 23:37:31

2 条回复 A文章作者 M管理员
  1. 求压缩密码

    • 这个无密码

个人中心
今日签到
有新私信 私信列表
搜索