针对Tomcat的弱密码利用进行一次系统的分析

请注意,此篇文章仅作学习交流使用,用到的工具及相关代码不会给出

什么是Tomcat?他能干点什么?

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。诀窍是,当配置正确时,Apache 为HTML页面服务,而Tomcat 实际上运行JSP 页面和Servlet。另外,Tomcat和IIS等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器,独立的Servlet容器是Tomcat的默认模式。不过,Tomcat处理静态HTML的能力不如Apache服务器。目前Tomcat最新版本为9.0.27。

简单来讲呢,他是一个和Apache及IIS媲美的网页执行容器,当然支持编程语言Html页面啦
所以说有很多大型网站都是利用Tomcat进行服务,当然,远不及使用Nginx和Apache的多(甚至比不过IIS
那么这么好的一个东西是怎么被弱密码干趴下的呢?别着急,我们马上进行介绍。

Tomcat在什么地方要设置密码?如果设置弱密码会出现什么情况?

Tomcat存在一个管理页面

路径是:http://tomcat's IP/manager/html

我相信Tomcat制作这样的一个管理器对我们这种服务器运维是十分友好的
这样,如果我的业务需要部署什么新页面的话,我只需要给我的JSP页面打个包,然后直接访问网页,在线部署我的War包就可以了
但是如果这个页面设置了弱密码,黑客就可以直接以管理员身份部署War包,上传木马等
那么到底该如何利用呢?如何复现呢?我们来介绍一下!

成也Manager,败也Manager

首先我们要部署一个Tomcat环境
这里网上文章很多,不赘述了,思路就是先安装JDK1.8,然后安装Tomcat
先确认一下部署的环境可以和内网其他虚拟机互相ping通,并且确认环境部署成功
部署完成后请访问:


部署之后应该是右侧Firefox的样子,ping一下内网的Win7确认可以互通
接下来,我们配置账户
编辑这个文件:
Tomcat安装文件夹/conf/tomcat-users.xml
在最后一行前面加入:

<role rolename="manager-gui"/>
<user username="mytomcat" password="Test" roles="manager-gui"/>

这两句话的意思是创建组允许访问Manager,创建用户mytomcat,密码是Test,允许访问Manager页面

这是访问/manager,输入好用户名和密码的效果
当你看到上图时,代表你成功了!

开始进行复现利用

待补充

Last modification:October 26th, 2019 at 11:38 pm
如果你认为我的文章为您提供了一些有用的信息或建议,请支持我

Leave a Comment