一、漏洞复现前提条件
ps:本次搭建的Tomcat版本是Apache Tomcat/7.0.56
(1)首先tomcat web管理界面开启
(2)tomcat管理账号和密码均可以远程登录,本次使用的默认账号密码是tomcat/tomcat,登录成功如下图所示。
在这需要说明一下,一般默认安装的tomcat,虽然有web登录界面,但是默认账号和密码是无法登陆的,这时需要修改tomcat-users.xml里面的配置文件,修改成如下图所示。
二、漏洞测试过程
(1)弱口令爆破
一般情况开启了Tomcat的WEB管理,管理人员的习惯都喜欢将账号设为tomcat或者admin,此时由于管理人员的安全意识不足,有可能将密码设置为弱口令,渗透测试人员可通过爆破工具,进行密码的暴力破解,本次使用的是burp的Intruder模块。爆破过程如下所示。
1)首先输入账号“tomcat”,密码输入“tomcat”,通过burp进行抓包,如下图所示。
2)此时通过Intruder进行账号与密码的暴力破解,本次为了演示方便,仅将账号设为tomcat,爆破登录密码,爆破过程如下所示。
①首先选择需要爆破的base64编码的账号及密码,通过base64解密发现,账号和密码的组合方式是tomcat:tomcat,即是账号:密码,总共分为三段,如下图所示。
②选择Payload type模块为:Custom iterator,下面第一段是账号,此处填写为tomcat,如下图所示。
③下面第二段是填入”:”,如下图所示。
④第三段填入常用的弱密码,如下图所示。
⑤然后选择Base64编码模块,并且取消URL-encode these characters,如下图所示。
⑥最后开始进行暴力破解,破解出密码,如下图所示。通过base64解密,账号和密码均为tomcat。
⑦最后通过爆破的密码成功登录到tomcat管理平台,如下图所示。
(2) Apache tomcat manager成功登陆之后,可以通过上传WAR文件上传webshell。
1)首先是WAR木马的制作
①安装JDK
②将Customize.jsp小马放在JDK下的bin目录文件下,如下图所示。
③cmd进入到bin文件下,运行”jar cvf shell.warCustomize.jsp”,生成shell.war小马文件,如下图所示。
2)其次是上传war木马的过程
①登录,访问http://20.20.20.132:8080/manager/html,通过tomcat/tomcat即可成功登录到上传界面,上传含小马的WAR文件:shell.war,如下图所示。
②上传成功之后,在当前上传的页面可以看见有shell项目已成功部署,如下图所示。
③最后通过中国菜刀进行木马的连接,如下图所示。已经成功拿到shell。 http://20.20.20.132:8080/shell/Customize.jsp密码:chopper
三、漏洞修复建议
1、如果是已经上线的系统,尽量将tomcat管理登录的账号和密码进行禁用,上传新应用时,通过登录到服务器系统上进行搭建。
2、tomcat应用程序设置为系统所需的最低权限,防止攻击者拿到网站权限后,继而拿到服务器的权限。
3、增加对于本地和基于证书的身份验证,部署账户锁定机制(对于集中式认证,目录服务也要做相应配置)。在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制。防止暴力破解
4、针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制。
求压缩密码
这个无密码