Tomcat
Група Try Hard Security
Відкриття
Зазвичай працює на порту 8080
Загальна помилка Tomcat:
Перелік
Ідентифікація версії
Щоб знайти версію Apache Tomcat, можна виконати просту команду:
Місцезнаходження файлів менеджера
Визначення точних місць розташування каталогів /manager
та /host-manager
є критичним, оскільки їх назви можуть бути змінені. Рекомендується використовувати метод перебору для пошуку цих сторінок.
Перелік імен користувачів
Для версій Tomcat старших за 6 можливе перелічення імен користувачів через:
Стандартні облікові дані
Директорія /manager/html
є особливо чутливою, оскільки дозволяє завантаження та розгортання WAR-файлів, що може призвести до виконання коду. Ця директорія захищена базовою HTTP-аутентифікацією, а серед загальних облікових даних можуть бути:
admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat
Ці облікові дані можна перевірити за допомогою:
Ще однією помітною директорією є /manager/status
, яка відображає версію Tomcat та ОС, допомагаючи в ідентифікації вразливостей.
Атака методом грубої сили
Для спроби атаки методом грубої сили на директорію менеджера можна використати:
Загальні вразливості
Розкриття слідування за паролем
Доступ до /auth.jsp
може розкрити пароль у слідуванні за щасливими обставинами.
Подвійне кодування URL
Вразливість CVE-2007-1860 в mod_jk
дозволяє подвійне кодування URL для обходу шляху, що дозволяє несанкціонований доступ до інтерфейсу управління за допомогою спеціально створеного URL.
Для доступу до веб-інтерфейсу управління Tomcat перейдіть за посиланням: pathTomcat/%252E%252E/manager/html
/приклади
Приклади скриптів Apache Tomcat версій 4.x до 7.x піддаються розкриттю інформації та атакам на міжсайтовий скриптінг (XSS). Ці скрипти, перелічені докладно, повинні бути перевірені на несанкціонований доступ та потенційну експлуатацію. Знайдіть додаткову інформацію тут
/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp
Експлуатація обходу шляху
У деяких вразливих конфігураціях Tomcat ви можете отримати доступ до захищених каталогів в Tomcat за допомогою шляху: /..;/
Таким чином, наприклад, ви можете отримати доступ до сторінки керування Tomcat, перейшовши за посиланням: www.vulnerable.com/lalala/..;/manager/html
Ще один спосіб обійти захищені шляхи за допомогою цього трюку - це доступ до http://www.vulnerable.com/;param=value/manager/html
RCE
Нарешті, якщо у вас є доступ до Менеджера веб-додатків Tomcat, ви можете завантажити та розгорнути файл .war (виконати код).
Обмеження
Ви зможете розгорнути WAR лише якщо у вас є достатньо привілеїв (ролі: адміністратор, менеджер та менеджер-скрипт). Ці деталі можна знайти у tomcat-users.xml, як правило, визначеному в /usr/share/tomcat9/etc/tomcat-users.xml
(відрізняється від версії) (див. POST section).
Metasploit
Metasploit
Зворотній оболонковий код MSFVenom
Створіть військовий корабель для розгортання:
Завантажте файл
revshell.war
та отримайте до нього доступ (/revshell/
):
Прив'яжіть та здійсніть зворотний шелл за допомогою tomcatWarDeployer.py
У деяких сценаріях це не працює (наприклад, у старих версіях sun)
Завантажити
Зворотній shell
Прив'язка оболонки
Використання Culsterd
Ручний метод - Веб-шел
Створіть index.jsp з таким вмістом:
Ви також можете встановити це (дозволяє завантаження, завантаження та виконання команд): http://vonloesch.de/filebrowser.html
Ручний метод 2
Отримайте JSP веб-оболонку, таку як цю та створіть WAR-файл:
POST
Назва файлу облікових даних Tomcat - tomcat-users.xml
Інші способи отримання облікових даних Tomcat:
Інші інструменти для сканування tomcat
Посилання
Група з безпеки Try Hard
Last updated