Tomcat
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Зазвичай працює на порті 8080
Звичайна помилка Tomcat:
Щоб знайти версію Apache Tomcat, можна виконати просту команду:
Це буде шукати термін "Tomcat" на сторінці індексу документації, виявляючи версію в тегу заголовка HTML-відповіді.
Визначення точних місць розташування /manager
та /host-manager
каталогів є критично важливим, оскільки їхні назви можуть бути змінені. Рекомендується використовувати брутфорс для знаходження цих сторінок.
Для версій Tomcat старіших за 6, можливо перерахувати імена користувачів через:
Директорія /manager/html
є особливо чутливою, оскільки дозволяє завантаження та розгортання WAR файлів, що може призвести до виконання коду. Ця директорія захищена базовою HTTP аутентифікацією, з типовими обліковими даними:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Ці облікові дані можна перевірити за допомогою:
Іншою помітною директорією є /manager/status
, яка відображає версію Tomcat та ОС, що допомагає в ідентифікації вразливостей.
Щоб спробувати атаку методом грубої сили на директорію менеджера, можна використовувати:
Разом із налаштуванням різних параметрів у Metasploit для націлювання на конкретний хост.
Доступ до /auth.jsp
може розкрити пароль у backtrace за сприятливих обставин.
Вразливість CVE-2007-1860 у mod_jk
дозволяє подвійне кодування URL для обходу шляхів, що забезпечує несанкціонований доступ до інтерфейсу управління через спеціально підготовлений URL.
Щоб отримати доступ до веб-інтерфейсу управління Tomcat, перейдіть за адресою: pathTomcat/%252E%252E/manager/html
Версії Apache Tomcat 4.x до 7.x включають прикладні скрипти, які підлягають розкриттю інформації та атакам крос-сайтового скриптингу (XSS). Ці скрипти, які наведені вичерпно, слід перевірити на несанкціонований доступ і потенційне використання. Знайдіть більше інформації тут
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
У деяких вразливих конфігураціях Tomcat ви можете отримати доступ до захищених директорій у Tomcat, використовуючи шлях: /..;/
Отже, наприклад, ви можете отримати доступ до сторінки менеджера Tomcat, перейшовши за адресою: www.vulnerable.com/lalala/..;/manager/html
Інший спосіб обійти захищені шляхи, використовуючи цей трюк, - це доступ до http://www.vulnerable.com/;param=value/manager/html
Нарешті, якщо у вас є доступ до Менеджера веб-додатків Tomcat, ви можете завантажити та розгорнути файл .war (виконати код).
Ви зможете розгорнути WAR лише якщо у вас є достатні привілеї (ролі: admin, manager та manager-script). Ці деталі можна знайти в tomcat-users.xml, зазвичай визначеному в /usr/share/tomcat9/etc/tomcat-users.xml
(це варіюється між версіями) (див. POST розділ).
Створіть war для розгортання:
Завантажте файл revshell.war
і отримайте доступ до нього (/revshell/
):
В деяких сценаріях це не працює (наприклад, старі версії sun)
Створіть index.jsp з цим вмістом:
Ви також можете встановити це (дозволяє завантаження, скачування та виконання команд): http://vonloesch.de/filebrowser.html
Отримайте JSP веб-оболонку, таку як ця та створіть файл WAR:
Назва файлу облікових даних Tomcat - tomcat-users.xml
, і цей файл вказує на роль користувача всередині tomcat.
Приклад:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)