如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)

本文仅仅用于学习笔记关于渗透测试以及交流经验,请读者遵循《中华人民共和国网络安全法》,本文造成的任何违法行为与本文作者无关。

1.用空间测绘或者通过Nmap,goby扫描完成资产搜集之后,发现存在tomcat后门

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第1张图片

      发现可能存在通过tomcat后门上传木马获取服务器权限的漏洞

      URL栏原地址后输入 /manager/html

      弹出用户名 密码登录界面 默认用户名和密码都为tomcat如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第2张图片

2. 准备爆破密码(默认密码tomcat:tomcat)

    先用burpsuite抓个包吧如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第3张图片

 卧槽,怎么不是username:xxxx password:xxx形式的

这一串是什么藏话?????

导入decoder模块解码发现渊来是Base64的码 导入decoder解码

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第4张图片

解码后发现原来只是 用户名:密码 这个格式

所以我们用burpsuite爆破密码的思路就是     "用户名   +  :  +   密码 "

用payload的迭代器(custom iterator)跑,对用户名 密码进行base64加密后传到服务器进行暴力破解,直到与正确密码匹配,payload返回高字节数结果为止。所以我们需要导入的东西有三样 1.公平2.公平  ..... 错了。

是 用户名字典 +冒号(英文)+密码字典 !

字典注意一定要下载Tomcat专属字典哦

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第5张图片

 导入Intruder 开始操作 !

首先 $add$ 选中我们要攻击的字符串

 选择模式 Sniper

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第6张图片

Payload类型选择Custom iterator

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第7张图片

Position 1 按照顺序导入用户名字典如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第8张图片

 Position 2 只在Add栏 打一个 英文冒号 ":"

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第9张图片

 Position 3 导入密码字典

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第10张图片

关键点来了 !!

——————————————————————————————————————————

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第11张图片

取消URL-encode选项,并且新增一个base64编码 我们要把原本是url编码的转化为base64编码的这样才能进行正常爆破,具体操作如下:

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第12张图片 如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第13张图片

 选定Base64-encode编码,OK

接下来就是有仪式感的开始攻击         

按下攻击键等待字典跑完

跑完payload结果如下:

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第14张图片

注意第一个字节长度比其他多,说明是我们要的答案

选中下面的code右键转码看答案 

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第15张图片

 如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第16张图片

 用户名:tomcat

 密码:tomcat

成功登入tomcat后门!

3.进行文件上传,上传木马,获得服务器最高权限

工具我用的是冰蝎,但是蚁剑,哥斯拉这些工具都是可以的,其功能类似于电视遥控器,电视虽然离你很远,但是有遥控器你可以轻松换台。用这类工具自带的一句话木马上传后,你就能用软件把网站服务器的底裤看个干净,只要电视不被关闭你就能用遥控器玩个爽(只要服务器不关机不封你IP)

 对了,记得把自带的一句话木马shell.jsp打包成压缩包并改后缀名为xxx.war 的压缩包形式,上传webshell后tomcat会自动给你解压安装。

上传成功:

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第17张图片

running显示true就是成功了

在URL地址栏输入xxx.xxx.xxx:zz/shell/shell.jsp  具体要看你上传文件名字是什么,不一定是shell

注: x为网站地址 z为开放端口

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第18张图片

 访问为500,但是还是可以拿权限的

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第19张图片

 接下来打开遥控器:

新增链接:复制刚刚500地址栏的url,密码自己百度 ,点击确定

d如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第20张图片

打开一看哎呀这不是flag吗,再看看远处的文件管理吧

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第21张图片

 flag在tmp下,flag在tmp目录下,接下来懂得都懂

如何在Tomcat后台通过文件上传getshell总结(个人学习笔记思路)_第22张图片

欢迎来到网站服务器最高层!义眼丁真鉴定为好

你可能感兴趣的:(渗透测试,tomcat,web安全)