Tomcat
Try Hard Security Group
Entdeckung
Normalerweise läuft es auf Port 8080
Gemeinsamer Tomcat-Fehler:
Enumeration
Versionsidentifizierung
Um die Version von Apache Tomcat zu finden, kann ein einfacher Befehl ausgeführt werden:
Manager-Dateispeicherort
Die genauen Speicherorte der /manager
- und /host-manager
-Verzeichnisse zu identifizieren ist entscheidend, da ihre Namen verändert sein könnten. Es wird empfohlen, eine Brute-Force-Suche durchzuführen, um diese Seiten zu lokalisieren.
Benutzername Aufzählung
Für Tomcat-Versionen älter als 6 ist es möglich, Benutzernamen durch zu enumerieren:
Standardanmeldeinformationen
Das Verzeichnis /manager/html
ist besonders sensibel, da es das Hochladen und Bereitstellen von WAR-Dateien ermöglicht, was zu Codeausführung führen kann. Dieses Verzeichnis ist durch eine grundlegende HTTP-Authentifizierung geschützt, wobei häufig verwendete Anmeldeinformationen sind:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Diese Anmeldeinformationen können mit dem folgenden Befehl getestet werden:
Eine weitere bemerkenswerte Verzeichnis ist /manager/status
, das die Tomcat- und Betriebssystemversion anzeigt und bei der Identifizierung von Schwachstellen hilft.
Brute-Force-Angriff
Um einen Brute-Force-Angriff auf das Manager-Verzeichnis zu versuchen, kann man Folgendes verwenden:
Zusätzlich zur Festlegung verschiedener Parameter in Metasploit, um ein bestimmtes Zielhost anzugreifen.
Häufige Schwachstellen
Passwort-Backtrace-Enthüllung
Der Zugriff auf /auth.jsp
kann unter glücklichen Umständen das Passwort in einem Backtrace offenlegen.
Doppelte URL-Codierung
Die CVE-2007-1860-Schwachstelle in mod_jk
ermöglicht doppelte URL-Codierungspfadtraversierung, die unbefugten Zugriff auf die Management-Schnittstelle über eine speziell erstellte URL ermöglicht.
Um auf das Management-Web von Tomcat zuzugreifen, gehen Sie zu: pathTomcat/%252E%252E/manager/html
/Beispiele
Apache Tomcat-Versionen 4.x bis 7.x enthalten Beispielskripte, die anfällig für Informationslecks und Cross-Site-Scripting (XSS)-Angriffe sind. Diese umfassend aufgelisteten Skripte sollten auf unbefugten Zugriff und potenzielle Ausnutzung überprüft werden. Weitere Informationen finden Sie hier
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
Pfadtraversierungs-Exploit
In einigen anfälligen Konfigurationen von Tomcat können Sie über den Pfad /..;/
auf geschützte Verzeichnisse in Tomcat zugreifen.
So könnten Sie beispielsweise möglicherweise auf die Tomcat-Manager-Seite zugreifen, indem Sie auf Folgendes zugreifen: www.vulnerable.com/lalala/..;/manager/html
Ein weiterer Weg, um geschützte Pfade mit diesem Trick zu umgehen, besteht darin, auf http://www.vulnerable.com/;param=value/manager/html
zuzugreifen
RCE
Schließlich können Sie, wenn Sie Zugriff auf den Tomcat Web Application Manager haben, eine .war-Datei hochladen und bereitstellen (Code ausführen).
Einschränkungen
Sie können nur ein WAR bereitstellen, wenn Sie über ausreichende Berechtigungen verfügen (Rollen: admin, manager und manager-script). Diese Details finden Sie normalerweise in der Datei tomcat-users.xml, die in der Regel unter /usr/share/tomcat9/etc/tomcat-users.xml
definiert ist (es variiert je nach Version) (siehe POST Abschnitt).
Metasploit
Metasploit ist ein beliebtes Framework für die Entwicklung, Test und Ausführung von Exploits gegen eine Zielmaschine. Es bietet eine Vielzahl von Tools, die bei der Pentest-Phase verwendet werden können, um Schwachstellen in einem System zu identifizieren und auszunutzen.
MSFVenom Reverse Shell
Erstellen Sie den Krieg zur Bereitstellung:
Lade die Datei
revshell.war
hoch und greife darauf zu (/revshell/
):
Bind- und Reverse-Shell mit tomcatWarDeployer.py
In einigen Szenarien funktioniert dies nicht (zum Beispiel bei alten Versionen von Sun)
Download
Umgekehrte Shell
Bind-Shell
Mit Culsterd verwenden
Manuelle Methode - Web-Shell
Erstellen Sie index.jsp mit diesem Inhalt:
Manuelle Methode 2
Holen Sie sich eine JSP-Webshell wie diese und erstellen Sie eine WAR-Datei:
POST
Der Name der Tomcat-Anmeldeinformationen-Datei lautet tomcat-users.xml
Andere Möglichkeiten, Tomcat-Anmeldeinformationen zu sammeln:
Andere Tomcat-Scanning-Tools
Referenzen
Try Hard Security Group
Last updated