如何在Tomcat后台通过文件上传getshell总结（个人学习笔记思路）

本文仅仅用于学习笔记关于渗透测试以及交流经验，请读者遵循《中华人民共和国网络安全法》，本文造成的任何违法行为与本文作者无关。

1.用空间测绘或者通过Nmap,goby扫描完成资产搜集之后，发现存在tomcat后门

      发现可能存在通过tomcat后门上传木马获取服务器权限的漏洞

      URL栏原地址后输入 /manager/html

      弹出用户名 密码登录界面 默认用户名和密码都为tomcat

2. 准备爆破密码（默认密码tomcat:tomcat）

    先用burpsuite抓个包吧

 卧槽，怎么不是username：xxxx password：xxx形式的

这一串是什么藏话?????

导入decoder模块解码发现渊来是Base64的码 导入decoder解码

解码后发现原来只是 用户名:密码 这个格式

所以我们用burpsuite爆破密码的思路就是     "用户名   +  :  +   密码 "

用payload的迭代器（custom iterator）跑，对用户名 密码进行base64加密后传到服务器进行暴力破解，直到与正确密码匹配，payload返回高字节数结果为止。所以我们需要导入的东西有三样 1.公平2.公平  ..... 错了。

是 用户名字典 +冒号（英文）+密码字典 ！

字典注意一定要下载Tomcat专属字典哦

 导入Intruder 开始操作 ！

首先 $add$ 选中我们要攻击的字符串

 选择模式 Sniper

Payload类型选择Custom iterator

Position 1 按照顺序导入用户名字典

 Position 2 只在Add栏 打一个 英文冒号 ":"

 Position 3 导入密码字典

关键点来了 ！！

——————————————————————————————————————————

取消URL-encode选项，并且新增一个base64编码 我们要把原本是url编码的转化为base64编码的这样才能进行正常爆破，具体操作如下：

 

 选定Base64-encode编码，OK

接下来就是有仪式感的开始攻击         

按下攻击键等待字典跑完

跑完payload结果如下：

注意第一个字节长度比其他多，说明是我们要的答案

选中下面的code右键转码看答案 

 

 用户名：tomcat

 密码：tomcat

成功登入tomcat后门！

3.进行文件上传，上传木马，获得服务器最高权限

工具我用的是冰蝎，但是蚁剑，哥斯拉这些工具都是可以的，其功能类似于电视遥控器，电视虽然离你很远，但是有遥控器你可以轻松换台。用这类工具自带的一句话木马上传后，你就能用软件把网站服务器的底裤看个干净，只要电视不被关闭你就能用遥控器玩个爽（只要服务器不关机不封你IP）

 对了，记得把自带的一句话木马shell.jsp打包成压缩包并改后缀名为xxx.war 的压缩包形式，上传webshell后tomcat会自动给你解压安装。

上传成功：

running显示true就是成功了

在URL地址栏输入xxx.xxx.xxx:zz/shell/shell.jsp  具体要看你上传文件名字是什么，不一定是shell

注: x为网站地址 z为开放端口

 访问为500，但是还是可以拿权限的

 接下来打开遥控器：

新增链接：复制刚刚500地址栏的url，密码自己百度 ，点击确定

d

打开一看哎呀这不是flag吗，再看看远处的文件管理吧

 flag在tmp下，flag在tmp目录下，接下来懂得都懂

欢迎来到网站服务器最高层！义眼丁真鉴定为好