Kali Linux Web渗透测试手册(第二版) - 4.4- 用metasploit爆破tomcat密码

翻译来自：掣雷小组

成员信息：

thr0cyte，Gr33k，花花，MrTools，R1ght0us，7089bAt

标记红色的部分为今日更新内容。

第四章、测试身份验证和会话管理

4.0、介绍

4.1、用户名枚举

4.2、使用Burp Suite进行登陆页面的字典攻击

4.3、使用Hydra强制进行暴力攻击

4.4、使用Metasploit破解Tomcat的密码

4.5、手工挖掘cookie中的漏洞

4.6、攻击会话固定漏洞

4.7、使用Burp排序器评估会话标识符的质量

4.8、滥用不安全的直接对象引用

4.9、执行跨站点请求伪造攻击

4.4、用metasploit爆破tomcat密码

Apache tomcat是世界上使用最广泛的java web应用服务器之一，绝大多数人都会使用tomcat的默认配置。然而默认配置中会有一个向外网开放的web应用管理器，管理员可以利用它在服务器中启动、停止、添加和删除应用。

在这个教程中，我们将使用metasploit某个模块对tomcat管理界面实施密码暴力破解攻击以获得一个管理器的访问权限。

环境准备

如果你是第一次运行msf，你需要先启动数据库服务并初始化（Msf使用的是postgreSQL数据库来存储日志和结果）

启动postgreSQL：service postgresql start

创建并初始化数据库: msfdb init

然后就可以启动msf了：msfconsole

实战演练

我们也可以使用hydra或burp来进行暴力破解攻击，但是使用不同的攻击可以防止出现非预期结果时不知所措，而且灵活的使用工具是每一个渗透测试人员都应该具有的素质。

1.靶机vm_1有一个tomcat服务跑在8080端口，浏览器访问

http://192.168.56.11:8080/manager/html：

2.可以看到弹出了一个认证界面要求输入账号密码。

3.打开终端，输入msfconsole启动msf

4.启动后我们需要加载tomcat爆破模块，在msf>后输入

useauxiliary/scanner/http/tomcat_mgr_login

5.我们可以用这个命令看看需要什么参数：

show options

6.现在可以设置目标主机ip了！输入以下内容：

set rhosts 192.168.56.11

7.为了使运行速度快一点（不能太快！），可以用这个命令设置线程：

set threads 5

8.为了不使我们的服务器因为太大量请求而奔溃，破解速度我们降低一点：

set bruteforce_speed 3

9.其余参数使用默认值，设置完成后，输入run来启动攻击！

10.在一些失败结果后，我们发现了一个有效的密码！（绿色的结果）

原理剖析

默认情况下，tomcat服务会开启在8080端口，管理界面目录在/manager/html

该应用使用基础http认证。刚刚使用的tomcat_mgr_login模块有一些参数需要讲解一下：

• BLANK_PASSWORDS: 为每一个账号提供一个空密码测试
• PASSWORD: 设置这个可以一密码多用户的方式进行测试
• PASS_FILE: 输入你想使用的密码字典路径
• Proxies: 为了避免被检测到源地址，可以使用这个代理功能
• RHOSTS：填写要测试的主机（可以是多个，以空格分隔。也可以是一个清单文件）
• RPORT：设置目标tomcat运行端口
• STOP_ON_SUCCESS：当破解成功后停止攻击
• TARGERURI：管理界面的目录路径
• USERNAME：定义要测试的用户名（可以使单个，也可以是一个字典文件）
• USER_PASS_FILE：使用 用户名/密码 格式的字典文件
• USER_AS_PASS：尝试使用测试中的用户名作为密码

另请参阅

一旦我们成功进入tomcat管理界面，就能看到并操作安装在上面的应用。

此外我们可以上传自己的应用（包括能在服务器执行命令的应用）。

留下一个难题~向服务器上传并部署一个webshell，并在其中执行系统命令。

（提示：Kali linux的usr/share/webshell目录下有很多webshell的源代码！）