Tomcat
Discovery
यह आमतौर पर पोर्ट 8080 पर चलता है
सामान्य Tomcat त्रुटि:
Enumeration
संस्करण पहचान
Apache Tomcat के संस्करण को खोजने के लिए, एक साधारण कमांड निष्पादित की जा सकती है:
यह दस्तावेज़ अनुक्रमणिका पृष्ठ में "Tomcat" शब्द के लिए खोज करेगा, जो HTML प्रतिक्रिया के शीर्षक टैग में संस्करण को प्रकट करेगा।
प्रबंधक फ़ाइलों का स्थान
/manager
और /host-manager
निर्देशिकाओं के सटीक स्थानों की पहचान करना महत्वपूर्ण है क्योंकि उनके नाम बदले जा सकते हैं। इन पृष्ठों को खोजने के लिए ब्रूट-फोर्स खोज की सिफारिश की जाती है।
उपयोगकर्ता नाम गणना
Tomcat के 6 से पुराने संस्करणों के लिए, उपयोगकर्ता नामों की गणना करना संभव है:
डिफ़ॉल्ट क्रेडेंशियल्स
/manager/html
निर्देशिका विशेष रूप से संवेदनशील है क्योंकि यह WAR फ़ाइलों के अपलोड और तैनाती की अनुमति देती है, जो कोड निष्पादन की ओर ले जा सकती है। यह निर्देशिका बुनियादी HTTP प्रमाणीकरण द्वारा सुरक्षित है, सामान्य क्रेडेंशियल्स हैं:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
इन क्रेडेंशियल्स का परीक्षण किया जा सकता है:
एक और महत्वपूर्ण निर्देशिका /manager/status
है, जो Tomcat और OS संस्करण को प्रदर्शित करती है, जिससे कमजोरियों की पहचान में मदद मिलती है।
Brute Force Attack
प्रबंधक निर्देशिका पर ब्रूट फोर्स हमले का प्रयास करने के लिए, कोई उपयोग कर सकता है:
Along with setting various parameters in Metasploit to target a specific host.
सामान्य कमजोरियाँ
पासवर्ड बैकट्रेस प्रकटीकरण
/auth.jsp
तक पहुँचने से भाग्यशाली परिस्थितियों में बैकट्रेस के तहत पासवर्ड प्रकट हो सकता है।
डबल URL एन्कोडिंग
mod_jk
में CVE-2007-1860 कमजोरियाँ डबल URL एन्कोडिंग पथ यात्रा की अनुमति देती हैं, जिससे विशेष रूप से तैयार किए गए URL के माध्यम से प्रबंधन इंटरफ़ेस तक अनधिकृत पहुँच संभव होती है।
टॉमकैट के प्रबंधन वेब तक पहुँचने के लिए जाएँ: pathTomcat/%252E%252E/manager/html
/examples
Apache Tomcat संस्करण 4.x से 7.x में उदाहरण स्क्रिप्ट शामिल हैं जो जानकारी के प्रकटीकरण और क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों के प्रति संवेदनशील हैं। इन स्क्रिप्टों की पूरी सूची को अनधिकृत पहुँच और संभावित शोषण के लिए जांचा जाना चाहिए। यहाँ अधिक जानकारी प्राप्त करें
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
पथ यात्रा शोषण
कुछ टॉमकैट की संवेदनशील कॉन्फ़िगरेशन में आप पथ का उपयोग करके टॉमकैट में संरक्षित निर्देशिकाओं तक पहुँच प्राप्त कर सकते हैं: /..;/
तो, उदाहरण के लिए, आप टॉमकैट प्रबंधक पृष्ठ तक पहुँचने में सक्षम हो सकते हैं: www.vulnerable.com/lalala/..;/manager/html
एक और तरीका इस ट्रिक का उपयोग करके संरक्षित पथों को बायपास करने का है: http://www.vulnerable.com/;param=value/manager/html
RCE
अंत में, यदि आपके पास टॉमकैट वेब एप्लिकेशन प्रबंधक तक पहुँच है, तो आप एक .war फ़ाइल अपलोड और तैनात कर सकते हैं (कोड निष्पादित करें)।
सीमाएँ
आप केवल तभी WAR तैनात कर पाएंगे जब आपके पास पर्याप्त विशेषाधिकार (भूमिकाएँ: admin, manager और manager-script) हों। ये विवरण आमतौर पर tomcat-users.xml के तहत पाए जा सकते हैं जो /usr/share/tomcat9/etc/tomcat-users.xml
में परिभाषित होता है (यह संस्करणों के बीच भिन्न होता है) (देखें POST section)।
मेटास्प्लॉइट
MSFVenom Reverse Shell
तैनात करने के लिए वार बनाएँ:
revshell.war
फ़ाइल अपलोड करें और इसे एक्सेस करें (/revshell/
):
tomcatWarDeployer.py के साथ बाइंड और रिवर्स शेल
कुछ परिदृश्यों में यह काम नहीं करता (उदाहरण के लिए पुराने संस्करणों में)
डाउनलोड
रिवर्स शेल
बाइंड शेल
Culsterd का उपयोग करना
Manual method - Web shell
index.jsp को इस सामग्री के साथ बनाएं:
आप इसे भी स्थापित कर सकते हैं (अपलोड, डाउनलोड और कमांड निष्पादन की अनुमति देता है): http://vonloesch.de/filebrowser.html
मैनुअल विधि 2
एक JSP वेब शेल प्राप्त करें जैसे यह और एक WAR फ़ाइल बनाएं:
POST
Tomcat क्रेडेंशियल्स फ़ाइल का नाम tomcat-users.xml है
Tomcat क्रेडेंशियल्स इकट्ठा करने के अन्य तरीके:
अन्य टॉमकैट स्कैनिंग उपकरण
संदर्भ
Last updated