Tomcat
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Συνήθως τρέχει στην θύρα 8080
Κοινό σφάλμα Tomcat:
Για να βρείτε την έκδοση του Apache Tomcat, μπορεί να εκτελεστεί μια απλή εντολή:
Αυτό θα αναζητήσει τον όρο "Tomcat" στη σελίδα ευρετηρίου τεκμηρίωσης, αποκαλύπτοντας την έκδοση στον τίτλο της HTML απόκρισης.
Η αναγνώριση των ακριβών τοποθεσιών των /manager
και /host-manager
καταλόγων είναι κρίσιμη καθώς τα ονόματά τους μπορεί να έχουν τροποποιηθεί. Συνιστάται μια αναζήτηση brute-force για να εντοπιστούν αυτές οι σελίδες.
Για εκδόσεις Tomcat παλαιότερες από 6, είναι δυνατή η αναγνώριση ονομάτων χρηστών μέσω:
Ο /manager/html
φάκελος είναι ιδιαίτερα ευαίσθητος καθώς επιτρέπει την ανέβασμα και ανάπτυξη αρχείων WAR, τα οποία μπορεί να οδηγήσουν σε εκτέλεση κώδικα. Αυτός ο φάκελος προστατεύεται από βασική HTTP αυθεντικοποίηση, με κοινά διαπιστευτήρια να είναι:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Αυτά τα διαπιστευτήρια μπορούν να δοκιμαστούν χρησιμοποιώντας:
Ένας άλλος αξιοσημείωτος κατάλογος είναι /manager/status
, ο οποίος εμφανίζει την έκδοση του Tomcat και του λειτουργικού συστήματος, βοηθώντας στην αναγνώριση ευπαθειών.
Για να προσπαθήσετε μια επίθεση brute force στον κατάλογο διαχείρισης, μπορείτε να χρησιμοποιήσετε:
Along with setting various parameters in Metasploit to target a specific host.
Η πρόσβαση στο /auth.jsp
μπορεί να αποκαλύψει τον κωδικό πρόσβασης σε ένα backtrace υπό ευνοϊκές συνθήκες.
Η ευπάθεια CVE-2007-1860 στο mod_jk
επιτρέπει την διπλή κωδικοποίηση URL για διαδρομή, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση στη διαχείριση μέσω μιας ειδικά κατασκευασμένης διεύθυνσης URL.
Για να αποκτήσετε πρόσβαση στη διαχείριση του Tomcat, πηγαίνετε στο: pathTomcat/%252E%252E/manager/html
Οι εκδόσεις Apache Tomcat 4.x έως 7.x περιλαμβάνουν παραδείγματα scripts που είναι ευάλωτα σε αποκάλυψη πληροφοριών και επιθέσεις cross-site scripting (XSS). Αυτά τα scripts, που αναφέρονται εκτενώς, θα πρέπει να ελέγχονται για μη εξουσιοδοτημένη πρόσβαση και πιθανή εκμετάλλευση. Βρείτε περισσότερες πληροφορίες εδώ
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
Σε ορισμένες ευάλωτες ρυθμίσεις του Tomcat μπορείτε να αποκτήσετε πρόσβαση σε προστατευμένους καταλόγους στο Tomcat χρησιμοποιώντας τη διαδρομή: /..;/
Έτσι, για παράδειγμα, μπορεί να μπορείτε να αποκτήσετε πρόσβαση στη σελίδα διαχείρισης του Tomcat πηγαίνοντας: www.vulnerable.com/lalala/..;/manager/html
Ένας άλλος τρόπος για να παρακάμψετε τις προστατευμένες διαδρομές χρησιμοποιώντας αυτό το κόλπο είναι να αποκτήσετε πρόσβαση στο http://www.vulnerable.com/;param=value/manager/html
Τέλος, αν έχετε πρόσβαση στον Διαχειριστή Εφαρμογών Web του Tomcat, μπορείτε να ανεβάσετε και να αναπτύξετε ένα αρχείο .war (εκτέλεση κώδικα).
Θα μπορείτε να αναπτύξετε ένα WAR μόνο αν έχετε αρκετά δικαιώματα (ρόλοι: admin, manager και manager-script). Αυτές οι λεπτομέρειες μπορούν να βρεθούν στο tomcat-users.xml που συνήθως ορίζεται στο /usr/share/tomcat9/etc/tomcat-users.xml
(διαφέρει μεταξύ εκδόσεων) (βλ. POST section).
Δημιουργήστε το war για ανάπτυξη:
Ανεβάστε το revshell.war
αρχείο και αποκτήστε πρόσβαση σε αυτό (/revshell/
):
Σε ορισμένα σενάρια αυτό δεν λειτουργεί (για παράδειγμα παλιές εκδόσεις του sun)
Create index.jsp with this content:
Μπορείτε επίσης να εγκαταστήσετε αυτό (επιτρέπει την αποστολή, λήψη και εκτέλεση εντολών): http://vonloesch.de/filebrowser.html
Αποκτήστε ένα JSP web shell όπως αυτό και δημιουργήστε ένα WAR αρχείο:
Το όνομα του αρχείου διαπιστευτηρίων Tomcat είναι tomcat-users.xml
και αυτό το αρχείο υποδεικνύει τον ρόλο του χρήστη μέσα στο tomcat.
Παράδειγμα:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)