Tomcat后台弱口令上传war包

利用暴力破解或者弱口令猜解的方式得到tomcat的后台登陆认证账户，即在登陆成功之时利用tomcat管理控制台WARfile to deploy

自动部署war的功能将我们的木马进行上传部署。在这里我们本地给大家准备的实验环境如下：

JDK1.8.0

ApacheTomcat7.0.88(关于爆破本来应该使用6版本，不过为了总结更多关于防御的知识，所以这里我使用7版本的)

在这里jdk以及tomcat的安装配置我就不细讲了。大家可以自行百度。准备好如下图所示的实现环境后，接下来我们来开始复现操作。

首先设置代理，注意Tomcat的默认端口为8080，不要和代理的端口冲突了。首先打开tomcat,点击manager app 输入管理员用户名密码，这里随意输入用户名tomcat 密码123456，

然后用burpsuit抓包,如图所示：

 

 

得到账户密码是利用Authorization该授权字段以base64方式传递账户信息。得到他的加密方式，接下来我们拿去解密分析他的数据传递方法。

 

可以得出tomcat在授权认证时，将账号与密码用冒号进行组合再辅以base64加密所传递。（401认证）接下来我们构造字典来进行爆破。利用burp抓包发送到Intrude模糊测试模块来进行暴力破解。

 

上面我们得到了tomcat数据传递格式为username：password的格式，这是就要使用到burp模糊测试模块中的customiterator自定义迭代类型的payload，官方的解释是该类型的payload共分为8个占 位符，每一个占位又可以指定简单列表的payload类型。再根据占位的数值，与每一个payload列表区进行笛卡儿积生成集合组。

得到最终的payload列表。我的理解就是利用数学中的笛卡儿积进行集合，去拼凑各种可能存在的payload可能列表。设置格式如下：

按照payload类型分组进行设置Position参数，比如说我们要爆破的Tomcat数据。需要设置的第一个Position参数就是 username参数，然后再进行添加payload字典。以此类推第二个参数就是冒号：，第三个就是password字段。设置完成后再需要对数据字段 进行base64编码就可以爆破了。设置方法如下图所示：

 

 

 

以上就收tomcat基础认证爆破，当然我们还可以去自己收集匹配号的三个字段字典或者base64加密过的字典以及metasploit中的tomcat爆破，更加方便进行爆破。方式多样，根据自己的需求去使用。

爆破很多次，发现正确的用户名密码字典爆破出来一直是失败的401状态码。我们可以在tomcat的后台jar脚本文件中发现一串警告信息。

这是由于在tomcat6版本以后针对爆破做了锁定机制的设置。我们先去更改一下。为了方便演示。

在conf/server.xml中添加一段failureCount=”500″lockOutTime=”0″超时锁定数的设置。

即可解除针对爆破次数过多的用户的锁定机制，如下图所示，已经成功爆破出用户名密码。 

爆破成功之后来到Tomcat后台即可部署我们的war木马文件来进行提权操作。

Tomcat后台弱口令上传war包进行getshell的篇幅到此为止。

修复方案：

1、在系统上以低权限运行Tomcat应用程序。创建一个专门的 Tomcat服务用户，该用户只能拥有一组最小权限（例如不允许远程登录）。

2、增加对于本地和基于证书的身份验证，部署账户锁定机制（对于集中式认证，目录服务也要做相应配置）。在CATALINA_HOME/conf/web.xml文件设置锁定机制和时间超时限制。

3、以及针对manager-gui/manager-status/manager-script等目录页面设置最小权限访问限制。