tomcat是apache的一个中间件软件,其可以提供jsp或者php的解析服务,为了方便远程管理与部署,安装完tomcat以后默认会有一个管理页面,管理员只需要远程上传一个WAR格式的文件,便可以将内容发布到网站,这一功能方便了管理员的同时也给黑客打开了方便之门,除此之外,tomcat还有一些样本页面,如果处理不当也会导致安全问题。
tomcat远程部署漏洞详情
tomcat管理地址通常是:
http://127.0.0.1:8080/manager
默认账号密码:
root/root
tomcat/tomcat
admin admin
admin 123456
在默认不对tomcat做任何配置的时候爆破是无效的,而如果设置了账号密码就可以进行爆破。Tomcat的认证比较弱,Base64(用户名:密码)编码,请求响应码如果不是401(未经授权:访问由于凭据无效被拒绝。)即表示登录成功。登录成功后,可直接上传war文件,getshell(当然上传war文件需要manager权限)
首先将我们的.jsp shell文件打包为war文件:
jar -cvf shell.war shell.jsp
登录管理页面后,选择上传war文件。
截图中间的目录便是上传成功以后的木马文件,可以点击浏览。
直接在当前目录下访问shell.jsp。
默认地址:
http://localhost/servlets-examples/servlet/SessionExample
用来设置任意会话变量,恶意使用可对应用程序造成破坏。
1.升级tomcat版本 2.删除远程部署页面,或者限定页面的访问权限。 3.找到/conf/tomcat-users.xml修改用户名密码以及权限。 4.删除样例页面文件