Basic Tomcat Info

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

避免以 root 身份运行

为了不以 root 身份运行 Tomcat，一个非常常见的配置是在 80/443 端口上设置 Apache 服务器，并且如果请求路径与正则表达式匹配，请求将被发送到运行在不同端口上的 Tomcat。

默认结构

├── bin
├── conf
│   ├── catalina.policy
│   ├── catalina.properties
│   ├── context.xml
│   ├── tomcat-users.xml
│   ├── tomcat-users.xsd
│   └── web.xml
├── lib
├── logs
├── temp
├── webapps
│   ├── manager
│   │   ├── images
│   │   ├── META-INF
│   │   └── WEB-INF
|   |       └── web.xml
│   └── ROOT
│       └── WEB-INF
└── work
└── Catalina
└── localhost

bin 文件夹存储启动和运行 Tomcat 服务器所需的脚本和二进制文件。
conf 文件夹存储 Tomcat 使用的各种配置文件。
tomcat-users.xml 文件存储用户凭据及其分配的角色。
lib 文件夹包含 Tomcat 正常运行所需的各种 JAR 文件。
logs 和 temp 文件夹存储临时日志文件。
webapps 文件夹是 Tomcat 的默认网页根目录，托管所有应用程序。work 文件夹充当缓存，用于在运行时存储数据。

webapps 内部的每个文件夹预计具有以下结构。

webapps/customapp
├── images
├── index.jsp
├── META-INF
│   └── context.xml
├── status.xsd
└── WEB-INF
├── jsp
|   └── admin.jsp
└── web.xml
└── lib
|    └── jdbc_drivers.jar
└── classes
└── AdminServlet.class

最重要的文件是 WEB-INF/web.xml，它被称为部署描述符。此文件存储 应用程序使用的路由信息 以及处理这些路由的类。应用程序使用的所有编译类应存储在 WEB-INF/classes 文件夹中。这些类可能包含重要的业务逻辑以及敏感信息。这些文件中的任何漏洞都可能导致网站的完全妥协。lib 文件夹存储该特定应用程序所需的库。jsp 文件夹存储 Jakarta Server Pages (JSP)，以前称为 JavaServer Pages，可以与 Apache 服务器上的 PHP 文件进行比较。

这是一个 web.xml 文件的示例。

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>
<servlet>
<servlet-name>AdminServlet</servlet-name>
<servlet-class>com.inlanefreight.api.AdminServlet</servlet-class>
</servlet>

<servlet-mapping>
<servlet-name>AdminServlet</servlet-name>
<url-pattern>/admin</url-pattern>
</servlet-mapping>
</web-app>

The web.xml 配置定义了一个名为 AdminServlet 的新 servlet，它映射到类 com.inlanefreight.api.AdminServlet。Java 使用点表示法来创建包名，这意味着上述定义的类在磁盘上的路径为：

classes/com/inlanefreight/api/AdminServlet.class

接下来，创建一个新的 servlet 映射，以 将请求映射到 /admin 与 AdminServlet。此配置将把收到的任何 /admin 请求发送到 AdminServlet.class 类进行处理。 web.xml 描述符包含大量 敏感信息，在利用 Local File Inclusion (LFI) 漏洞 时，这是一个重要的文件需要检查。

tomcat-users

tomcat-users.xml 文件用于允许或拒绝访问 /manager 和 host-manager 管理页面。

<?xml version="1.0" encoding="UTF-8"?>

<SNIP>

<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<!--
By default, no user is included in the "manager-gui" role required
to operate the "/manager/html" web application.  If you wish to use this app,
you must define such a user - the username and password are arbitrary.

Built-in Tomcat manager roles:
- manager-gui    - allows access to the HTML GUI and the status pages
- manager-script - allows access to the HTTP API and the status pages
- manager-jmx    - allows access to the JMX proxy and the status pages
- manager-status - allows access to the status pages only

The users below are wrapped in a comment and are therefore ignored. If you
wish to configure one or more of these users for use with the manager web
application, do not forget to remove the <!.. ..> that surrounds them. You
will also need to set the passwords to something appropriate.
-->


<SNIP>

!-- user manager can access only manager section -->
<role rolename="manager-gui" />
<user username="tomcat" password="tomcat" roles="manager-gui" />

<!-- user admin can access manager and admin section both -->
<role rolename="admin-gui" />
<user username="admin" password="admin" roles="manager-gui,admin-gui" />


</tomcat-users>

该文件向我们展示了每个角色 manager-gui、manager-script、manager-jmx 和 manager-status 提供的访问权限。在这个例子中，我们可以看到用户 tomcat 的密码是 tomcat，并且该用户具有 manager-gui 角色，而用户账户 admin 设置了第二个弱密码 admin。

参考文献

https://academy.hackthebox.com/module/113/section/1090

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousTomcat NextUncovering CloudFlare

Last updated 3 days ago