Tomcat
Try Hard Security Group
Discovery
通常はポート8080で実行されます
一般的なTomcatエラー:
Enumeration
バージョン識別
Apache Tomcatのバージョンを見つけるには、次の単純なコマンドを実行します:
マネージャーファイルの場所
/manager
および /host-manager
ディレクトリの正確な場所を特定することは重要です。これらのページの名前が変更されている可能性があるため、ブルートフォース検索を推奨します。
ユーザー名の列挙
Tomcat バージョンが6より古い場合、次の方法でユーザー名を列挙することが可能です:
デフォルトの資格情報
/manager/html
ディレクトリはWAR ファイルのアップロードと展開を許可するため、コードの実行につながる可能性があります。このディレクトリは基本的なHTTP認証によって保護されており、一般的な資格情報は次のとおりです:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
これらの資格情報は以下を使用してテストできます:
別の注目すべきディレクトリは**/manager/status
**で、TomcatとOSのバージョンを表示し、脆弱性の特定に役立ちます。
ブルートフォース攻撃
マネージャディレクトリに対するブルートフォース攻撃を試みるには、次のようにします:
一緒にMetasploitでさまざまなパラメータを設定して特定のホストをターゲットにします。
一般的な脆弱性
パスワードのバックトレース開示
/auth.jsp
にアクセスすると、幸運な状況下でバックトレースにパスワードが表示される可能性があります。
ダブルURLエンコーディング
mod_jk
のCVE-2007-1860脆弱性により、ダブルURLエンコーディングパス遍歴が可能となり、特別に作成されたURLを介して管理インターフェースへの不正アクセスが可能となります。
Tomcatの管理ウェブにアクセスするには、次のように進みます:pathTomcat/%252E%252E/manager/html
/examples
Apache Tomcat バージョン4.xから7.xには、情報開示やクロスサイトスクリプティング(XSS)攻撃に対して脆弱なサンプルスクリプトが含まれています。これらのスクリプトは、権限のないアクセスや潜在的な悪用をチェックするために、包括的にリストされています。詳細はこちら
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
パス遍歴エクスプロイト
一部のTomcatの脆弱な構成では、/..;/
のパスを使用してTomcatの保護されたディレクトリにアクセスできます。
したがって、例えば、次のようにアクセスすることで Tomcatマネージャ ページにアクセスできるかもしれません:www.vulnerable.com/lalala/..;/manager/html
このトリックを使用して保護されたパスをバイパスする 別の方法 は、http://www.vulnerable.com/;param=value/manager/html
にアクセスすることです。
RCE
最後に、Tomcat Webアプリケーションマネージャにアクセスできる場合、 .warファイルをアップロードおよび展開(コードを実行) できます。
制限事項
WARを展開できるのは、十分な権限(ロール: admin 、 manager 、 manager-script **)を持っている場合に限ります。これらの詳細は通常、/usr/share/tomcat9/etc/tomcat-users.xml
に定義されています(バージョンによって異なります)(POST セクションを参照)。
Metasploit
Metasploit
MSFVenom逆シェル
デプロイするwarファイルを作成します:
revshell.war
ファイルをアップロードして、それにアクセスします (/revshell/
):
tomcatWarDeployer.pyを使用したバインドおよびリバースシェル
一部のシナリオではこれが機能しないことがあります (たとえば古いバージョンのsun)
ダウンロード
リバースシェル
バインドシェル
Culsterdの使用
手動方法 - ウェブシェル
このコンテンツを使用して、index.jspを作成します:
マニュアル方法2
JSPウェブシェルを取得し、こちらのようなWARファイルを作成します。
POST
Tomcatの資格情報ファイルの名前は tomcat-users.xml です。
他のTomcatの資格情報を収集する方法:
その他のTomcatスキャンツール
参考文献
Try Hard Security Group
Last updated