Tomcat
Try Hard सुरक्षा समूह
खोज
यह आम तौर पर पोर्ट 8080 पर चलता है
सामान्य टॉमकैट त्रुटि:
गणना
संस्करण पहचान
अपाचे टॉमकैट का संस्करण खोजने के लिए, एक सरल कमांड को निष्पादित किया जा सकता है:
प्रबंधक फ़ाइलें स्थान
/manager
और /host-manager
निर्देशिकाओं के सटीक स्थानों की पहचान महत्वपूर्ण है क्योंकि उनके नाम बदल दिए जा सकते हैं। इन पृष्ठों को खोजने के लिए ब्रूट-फ़ोर्स खोज की सिफारिश की जाती है।
उपयोगकर्ता गणना
Tomcat संस्करण 6 से पुराने संस्करणों के लिए उपयोगकर्ता नामों की गणना संभव है:
डिफ़ॉल्ट क्रेडेंशियल्स
/manager/html
निर्दिष्ट रूप से संवेदनशील है क्योंकि यह WAR फ़ाइलों को अपलोड और डिप्लॉय करने की अनुमति देता है, जो कोड क्रियान्वयन की ओर ले जा सकता है। इस निर्देशिका को बुनियादी HTTP प्रमाणीकरण द्वारा सुरक्षित किया गया है, जिसमें सामान्य क्रेडेंशियल्स शामिल हैं:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
इन क्रेडेंशियल्स का परीक्षण करने के लिए निम्नलिखित का उपयोग किया जा सकता है:
एक और महत्वपूर्ण निर्देशिका है /manager/status
, जो टॉमकैट और ओएस संस्करण प्रदर्शित करता है, जो भेद्यता पहचान में सहायक होता है।
ब्रूट फोर्स हमला
मैनेजर निर्देशिका पर ब्रूट फोर्स हमला करने के लिए, निम्नलिखित का उपयोग किया जा सकता है:
सामान्य सुरक्षा गड़बड़ियाँ
पासवर्ड बैकट्रेस डिस्क्लोज़र
/auth.jsp
तक पहुंचने से भाग्यशाली परिस्थितियों में पासवर्ड को बैकट्रेस में प्रकट कर सकता है।
डबल URL एन्कोडिंग
mod_jk
में CVE-2007-1860 वंशांकन में डबल URL एन्कोडिंग पथ ट्रावर्सल की अनुमति देती है, जिससे विशेष रूप से तैयार किए गए URL के माध्यम से प्रबंधन इंटरफेस तक अनधिकृत पहुंच सकती है।
तोमकैट के प्रबंधन वेब तक पहुंचने के लिए जाएं: pathTomcat/%252E%252E/manager/html
/उदाहरण
एपाच तोमकैट संस्करण 4.x से 7.x में उदाहरण स्क्रिप्ट शामिल हैं जो सूचना फुटान और क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों के लिए संवेदनशील हैं। ये स्क्रिप्ट, सूचीबद्ध रूप से, अनधिकृत पहुंच और संभावित शोषण के लिए जांचे जाने चाहिए। अधिक जानकारी यहाँ पाएं
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
पथ ट्रावर्सल शोषण
कुछ तोमकैट की वंशांकन विन्यास में आप /..;/
पथ का उपयोग करके तोमकैट में संरक्षित निर्देशिकाओं तक पहुंच सकते हैं।
इसलिए, उदाहरण के लिए, आप तोमकैट प्रबंधक पृष्ठ तक पहुंच सकते हैं: www.vulnerable.com/lalala/..;/manager/html
इस चाल का उपयोग करके संरक्षित पथों को छलकरने का एक और तरीका यह है कि http://www.vulnerable.com/;param=value/manager/html
RCE
अंततः, यदि आपके पास तोमकैट वेब एप्लिकेशन प्रबंधक तक पहुंच है, तो आप .war फ़ाइल अपलोड और डिप्लॉय (कोड का क्रियान्वयन) कर सकते हैं।
सीमाएँ
आप केवल तभी WAR डिप्लॉय कर पाएंगे अगर आपके पास पर्याप्त विशेषाधिकार हैं (भूमिकाएँ: व्यवस्थापक, प्रबंधक और प्रबंधक-स्क्रिप्ट). ये विवरण आम तौर पर /usr/share/tomcat9/etc/tomcat-users.xml
में परिभाषित होते हैं (संस्करणों के बीच भिन्न हो सकते हैं) (देखें POST खंड)।
Metasploit
MSFVenom Reverse Shell
डिप्लॉय करने के लिए war बनाएं:
revshell.war
फ़ाइल अपलोड करें और इस तक पहुँचें (/revshell/
):
tomcatWarDeployer.py के साथ बाइंड और रिवर्स शैल
कुछ स्थितियों में यह काम नहीं करता है (उदाहरण के लिए सन के पुराने संस्करणों में)
डाउनलोड
रिवर्स शैल
बाइंड शैल
Culsterd का उपयोग करें
मैन्युअल विधि - वेब शैल
index.jsp बनाएं और इस सामग्री के साथ:
मैन्युअल विधि 2
एक JSP वेब शैल जैसे यह प्राप्त करें और एक WAR फ़ाइल बनाएं:
POST
टॉमकैट क्रेडेंशियल्स फ़ाइल का नाम tomcat-users.xml है।
टॉमकैट क्रेडेंशियल्स जुटाने के अन्य तरीके:
अन्य टॉमकैट स्कैनिंग टूल
संदर्भ
Try Hard Security Group
Last updated