Tomcat
Try Hard Security Group
Scoperta
Di solito funziona sulla porta 8080
Errore comune di Tomcat:
Enumerazione
Identificazione della Versione
Per trovare la versione di Apache Tomcat, è possibile eseguire un semplice comando:
Posizione dei File del Manager
Identificare le posizioni esatte delle directory /manager
e /host-manager
è cruciale poiché i loro nomi potrebbero essere modificati. Si consiglia una ricerca brute-force per individuare queste pagine.
Enumerazione degli Username
Per le versioni di Tomcat precedenti alla 6, è possibile enumerare gli username tramite:
Credenziali predefinite
La directory /manager/html
è particolarmente sensibile in quanto consente il caricamento e il rilascio di file WAR, che possono portare all'esecuzione del codice. Questa directory è protetta dall'autenticazione HTTP di base, con le credenziali comuni che sono:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Queste credenziali possono essere testate utilizzando:
Un'altra directory importante è /manager/status
, che visualizza la versione di Tomcat e del sistema operativo, facilitando l'identificazione delle vulnerabilità.
Attacco di Forza Bruta
Per tentare un attacco di forza bruta alla directory del manager, si può utilizzare:
Vulnerabilità Comuni
Rivelazione della Password tramite Backtrace
L'accesso a /auth.jsp
potrebbe rivelare la password in un backtrace in circostanze fortunate.
Doppia Codifica dell'URL
La vulnerabilità CVE-2007-1860 in mod_jk
consente la doppia codifica dell'URL per il path traversal, consentendo l'accesso non autorizzato all'interfaccia di gestione tramite un URL appositamente creato.
Per accedere alla web management di Tomcat vai a: pathTomcat/%252E%252E/manager/html
/esempi
Le versioni di Apache Tomcat da 4.x a 7.x includono script di esempio che sono suscettibili a rivelazioni di informazioni e attacchi di cross-site scripting (XSS). Questi script, elencati in modo esaustivo, dovrebbero essere controllati per l'accesso non autorizzato e potenziale sfruttamento. Trova ulteriori informazioni qui
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
Sfruttamento del Traversal del Percorso
In alcune configurazioni vulnerabili di Tomcat è possibile accedere alle directory protette in Tomcat utilizzando il percorso: /..;/
Quindi, ad esempio, potresti essere in grado di accedere alla pagina del manager di Tomcat accedendo a: www.vulnerable.com/lalala/..;/manager/html
Un altro modo per aggirare i percorsi protetti utilizzando questo trucco è accedere a http://www.vulnerable.com/;param=value/manager/html
RCE
Infine, se hai accesso al Tomcat Web Application Manager, puoi caricare e distribuire un file .war (eseguire codice).
Limitazioni
Sarai in grado di distribuire un WAR solo se hai abbastanza privilegi (ruoli: admin, manager e manager-script). Questi dettagli possono essere trovati in tomcat-users.xml di solito definito in /usr/share/tomcat9/etc/tomcat-users.xml
(varia tra le versioni) (vedi POST section).
Metasploit
Shell Inversa MSFVenom
Crea il file war da distribuire:
Carica il file
revshell.war
e accedi ad esso (/revshell/
):
Shell di bind e reverse con tomcatWarDeployer.py
In alcuni scenari questo non funziona (ad esempio vecchie versioni di sun)
Download
Shell inversa
Shell di bind
Utilizzo di Culsterd
Metodo manuale - Web shell
Crea index.jsp con questo contenuto:
Puoi anche installare questo (consente di caricare, scaricare ed eseguire comandi): http://vonloesch.de/filebrowser.html
Metodo Manuale 2
Ottieni una web shell JSP come questa e crea un file WAR:
POST
Il nome del file delle credenziali di Tomcat è tomcat-users.xml
Altri modi per raccogliere le credenziali di Tomcat:
Altri strumenti di scansione per tomcat
Riferimenti
Try Hard Security Group
Last updated