Tomcat
Try Hard Security Group
Otkriće
Obično se pokreće na portu 8080
Uobičajena Tomcat greška:
Enumeracija
Identifikacija verzije
Da biste pronašli verziju Apache Tomcat-a, može se izvršiti jednostavna komanda:
Lokacija Datoteka Menadžera
Identifikacija tačnih lokacija /manager
i /host-manager
direktorijuma je ključna jer se njihova imena mogu promeniti. Preporučuje se grubo pretraživanje kako bi se locirale ove stranice.
Enumeracija Korisničkih Imena
Za Tomcat verzije starije od 6, moguće je enumerisati korisnička imena kroz:
Podrazumevani pristupni podaci
Direktorijum /manager/html
je posebno osetljiv jer omogućava otpremanje i implementaciju WAR fajlova, što može dovesti do izvršenja koda. Ovaj direktorijum je zaštićen osnovnom HTTP autentifikacijom, a česti pristupni podaci su:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Ove pristupne podatke možete testirati korišćenjem:
Još jedan značajan direktorijum je /manager/status
, koji prikazuje verziju Tomcat-a i operativnog sistema, pomažući u identifikaciji ranjivosti.
Napad grubom silom
Za pokušaj napada grubom silom na direktorijum menadžera, može se koristiti:
Uobičajene ranjivosti
Otkrivanje lozinke putem praćenja tragova
Pristupanje /auth.jsp
može otkriti lozinku putem praćenja tragova u povoljnim okolnostima.
Dvostruko kodiranje URL adrese
Ranjivost CVE-2007-1860 u mod_jk
omogućava dvostruko kodiranje URL adrese za prolazak kroz putanju, omogućavajući neovlašćen pristup upravljačkom interfejsu putem posebno oblikovane URL adrese.
Da biste pristupili upravljačkom vebu Tomcata, idite na: pathTomcat/%252E%252E/manager/html
/primeri
Apache Tomcat verzije 4.x do 7.x uključuju primere skripti koji su podložni otkrivanju informacija i napadima preko skripti sa preusmeravanjem preko stranice (XSS). Ove skripte, navedene sveobuhvatno, treba proveriti radi neovlašćenog pristupa i potencijalne eksploatacije. Pronađite više informacija ovde
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
Eksploatacija prolaska kroz putanju
U nekim ranjivim konfiguracijama Tomcata možete dobiti pristup zaštićenim direktorijumima u Tomcatu koristeći putanju: /..;/
Na primer, možda ćete moći pristupiti stranici za upravljanje Tomcatom pristupanjem: www.vulnerable.com/lalala/..;/manager/html
Još jedan način za zaobilaženje zaštićenih putanja korišćenjem ovog trika je pristup http://www.vulnerable.com/;param=value/manager/html
RCE
Na kraju, ako imate pristup Upravljaču veb aplikacijama Tomcata, možete otpakovati i implementirati .war datoteku (izvršiti kod).
Ograničenja
Moći ćete implementirati WAR datoteku samo ako imate dovoljno privilegija (uloge: admin, manager i manager-script). Te detalje možete pronaći u tomcat-users.xml obično definisane u /usr/share/tomcat9/etc/tomcat-users.xml
(varira između verzija) (videti POST odeljak).
Metasploit
MSFVenom Reverse Shell
Napravite rat za implementaciju:
Postavite fajl
revshell.war
i pristupite mu (/revshell/
):
Bind i reverse shell sa tomcatWarDeployer.py
U nekim scenarijima ovo ne radi (na primer, starije verzije sun-a)
Preuzimanje
Obrnuti shell
Bind shell
Korišćenje Culsterd
Ručni metod - Veb čaura
Kreirajte index.jsp sa ovim sadržajem:
Ručni metod 2
Preuzmite JSP web ljusku poput ove i kreirajte WAR datoteku:
POST
Ime datoteke sa Tomcat kredencijalima je tomcat-users.xml
Drugi načini za prikupljanje Tomcat akreditacija:
Ostali alati za skeniranje Tomcat-a
Reference
Try Hard Security Group
Last updated