Tomcat后臺(tái)弱口令上傳war包漏洞的示例分析

這篇文章主要介紹了Tomcat后臺(tái)弱口令上傳war包漏洞的示例分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

首先我們先來(lái)了解以下Tomcat的概念：

Tomcat是我們?cè)诠ぷ髦兴褂玫囊豢铋_(kāi)源輕量級(jí)的Web應(yīng)用程序服務(wù)器。通常情況下在中小型系統(tǒng)或者并發(fā)量較小的場(chǎng)合下使用，常用來(lái)與JSP腳本結(jié)合使來(lái)解析腳本語(yǔ)言部署搭建網(wǎng)站等系統(tǒng)。

在這里我們將Tomcat的幾大高危漏洞整理至以下：

1、Tomcat后臺(tái)弱口令上傳war包

2、Tomcat的PUT的上傳漏洞(CVE-2017-12615)

3、Tomcat反序列化漏洞(CVE-2016-8735)

4、Tomcat JMX服務(wù)器弱口令

5、Tomcat 樣例目錄session操控漏洞

6、Tomcat本地提權(quán)漏洞(CVE-2016-1240)

7Tomcat win版默認(rèn)空口令漏洞(CVE-2009-3548)

在這里解釋一下War包的概念：war包是用來(lái)進(jìn)行Web開(kāi)發(fā)時(shí)一個(gè)網(wǎng)站項(xiàng)目下的所有代碼,包括前臺(tái)HTML/CSS/JS代碼,以及后臺(tái)JavaWeb的代碼。當(dāng)開(kāi)發(fā)人員開(kāi)發(fā)完畢時(shí),就會(huì)將源碼打包給測(cè)試人員測(cè)試,測(cè)試完后若要發(fā)布則也會(huì)打包成War包進(jìn)行發(fā)布。War包可以放在Tomcat下的webapps或word目錄,當(dāng)Tomcat服務(wù)器啟動(dòng)時(shí)，War包即會(huì)隨之解壓源代碼來(lái)進(jìn)行自動(dòng)部署。

先來(lái)看第一個(gè)Tomcat后臺(tái)弱口令上傳war包。在這里我們就是利用暴力破解或者弱口令猜解的方式得到tomcat的后臺(tái)登陸認(rèn)證賬戶，即在登陸成功之時(shí)利用tomcat管理控制臺(tái)WARfile to deploy

自動(dòng)部署war的功能將我們的木馬進(jìn)行上傳部署。在這里我們本地給大家準(zhǔn)備的實(shí)驗(yàn)環(huán)境如下：

JDK1.8.0

ApacheTomcat7.0.88(關(guān)于爆破本來(lái)應(yīng)該使用6版本，不過(guò)為了總結(jié)更多關(guān)于防御的知識(shí)，所以這里我使用7版本的)

在這里jdk以及tomcat的安裝配置我就不細(xì)講了。大家可以自行百度。準(zhǔn)備好如下圖所示的實(shí)現(xiàn)環(huán)境后，接下來(lái)我們來(lái)開(kāi)始復(fù)現(xiàn)操作。

在這里我們?cè)O(shè)置一個(gè)8090的本地代理端口，以防止和tomcat默認(rèn)的本地8080端口所沖突造成不必要的影響。

我們隨便輸入12345賬戶密碼來(lái)進(jìn)行爆破。

得到賬戶密碼是利用Authorization該授權(quán)字段以base64方式傳遞賬戶信息。

得到他的加密方式，接下來(lái)我們拿去解密分析他的數(shù)據(jù)傳遞方法。

可以得出tomcat在授權(quán)認(rèn)證時(shí)，將賬號(hào)與密碼用冒號(hào)進(jìn)行組合再輔以base64加密所傳遞。接下來(lái)我們構(gòu)造字典來(lái)進(jìn)行爆破。

利用burp抓包發(fā)送到Intrude模糊測(cè)試模塊來(lái)進(jìn)行暴力破解。

上面我們得到了tomcat數(shù)據(jù)傳遞格式為username：password的格式，這是就要使用到burp模糊測(cè)試模塊中的customiterator自定義迭代類型的payload，官方的解釋是該類型的payload共分為8個(gè)占位符，每一個(gè)占位又可以指定簡(jiǎn)單列表的payload類型。再根據(jù)占位的數(shù)值，與每一個(gè)payload列表區(qū)進(jìn)行笛卡兒積生成集合組。

得到最終的payload列表。我的理解就是利用數(shù)學(xué)中的笛卡兒積進(jìn)行集合，去拼湊各種可能存在的payload可能列表。設(shè)置格式如下：

按照payload類型分組進(jìn)行設(shè)置Position參數(shù)，比如說(shuō)我們要爆破的Tomcat數(shù)據(jù)。需要設(shè)置的第一個(gè)Position參數(shù)就是username參數(shù)，然后再進(jìn)行添加payload字典。以此類推第二個(gè)參數(shù)就是冒號(hào)：，第三個(gè)就是password字段。設(shè)置完成后再需要對(duì)數(shù)據(jù)字段進(jìn)行base64編碼就可以爆破了。設(shè)置方法如下圖所示：

以上就收tomcat基礎(chǔ)認(rèn)證爆破，當(dāng)然我們還可以去自己收集匹配號(hào)的三個(gè)字段字典或者base64加密過(guò)的字典以及metasploit中的tomcat爆破，更加方便進(jìn)行爆破。方式多樣，根據(jù)自己的需求去使用。

爆破很多次，發(fā)現(xiàn)正確的用戶名密碼字典爆破出來(lái)一直是失敗的401狀態(tài)碼。我們可以在tomcat的后臺(tái)jar腳本文件中發(fā)現(xiàn)一串警告信息。

這是由于在tomcat6版本以后針對(duì)爆破做了鎖定機(jī)制的設(shè)置。我們先去更改一下。為了方便演示。

在conf/server.xml中添加一段failureCount="500"lockOutTime="0"超時(shí)鎖定數(shù)的設(shè)置。

即可解除針對(duì)爆破次數(shù)過(guò)多的用戶的鎖定機(jī)制。爆破成功之后來(lái)到Tomcat后臺(tái)即可部署我們的war木馬文件來(lái)進(jìn)行提權(quán)操作。

Tomcat后臺(tái)弱口令上傳war包進(jìn)行g(shù)etshell的篇幅到此為止。

修復(fù)方案：

1、在系統(tǒng)上以低權(quán)限運(yùn)行Tomcat應(yīng)用程序。創(chuàng)建一個(gè)專門的 Tomcat服務(wù)用戶，該用戶只能擁有一組最小權(quán)限（例如不允許遠(yuǎn)程登錄）。

2、增加對(duì)于本地和基于證書(shū)的身份驗(yàn)證，部署賬戶鎖定機(jī)制（對(duì)于集中式認(rèn)證，目錄服務(wù)也要做相應(yīng)配置）。在CATALINA_HOME/conf/web.xml文件設(shè)置鎖定機(jī)制和時(shí)間超時(shí)限制。

3、以及針對(duì)manager-gui/manager-status/manager-script等目錄頁(yè)面設(shè)置最小權(quán)限訪問(wèn)限制。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“Tomcat后臺(tái)弱口令上傳war包漏洞的示例分析”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!