tomcat后台弱口令上传war包

Tomcat是我们在工作中所使用的一款开源轻量级的Web应用程序服务器。通常情况下在中小型系统或者并发量较小的场合下使用，常用来与JSP脚本结合使来解析脚本语言部署搭建网站等系统。

war包是用来进行Web开发时一个网站项目下的所有代码,包括前台HTML/CSS/JS代码,以及后台JavaWeb的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布则也会打包成War包进行发布。War包可以放在Tomcat下的webapps或word目录,当Tomcat服务器启动时，War包即会随之解压源代码来进行自动部署。

Tomcat7+权限分为：

manager（后台管理）

manager-gui 拥有html页面权限

manager-status 拥有查看status的权限

manager-script 拥有text接口的权限，和status权限

manager-jmx 拥有jmx权限，和status权限

host-manager（虚拟主机管理）

admin-gui 拥有html页面权限

admin-script 拥有text接口权限

在这里我们将Tomcat的几大高危漏洞整理至以下：

1、Tomcat后台弱口令上传war包

2、Tomcat的PUT的上传漏洞(CVE-2017-12615)

3、Tomcat反序列化漏洞(CVE-2016-8735)

4、Tomcat JMX服务器弱口令

5、Tomcat 样例目录session操控漏洞

6、Tomcat本地提权漏洞(CVE-2016-1240)

7Tomcat win版默认空口令漏洞(CVE-2009-3548)

---

一般默认安装的tomcat7，虽然有web登陆页面，但是默认账号和密码是无法登陆的，需要修改tomcat-users.xml里面的配置文件，赋予用户 mannger-gui (拥有HTML权限) 权限

正常安装的情况下，tomcat8中默认没有任何用户，且manager页面只允许本地IP访问。只有管理员手工修改了这些属性的情况下，才可以进行攻击。

tomcat-users.xml文件

配置文件

打开tomcat管理页面http://192.168.0.132:8080/manager/html，就是我们正常访问tomcat页面：（提示输入用户名和密码）

tomcat管理页面

先将jsp大马压缩为zip，再将zip后缀改名为war，然后上传war包：

上传

---

修复方案：

1、在系统上以低权限运行Tomcat应用程序。创建一个专门的 Tomcat服务用户，该用户只能拥有一组最小权限（例如不允许远程登录）。

2、增加对于本地和基于证书的身份验证，部署账户锁定机制（对于集中式认证，目录服务也要做相应配置）。在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制。

3、以及针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制。

16.Tomcat弱口令 && 后台getshell漏洞 - bmjoker - 博客园

Just a moment...