Tomcat后台弱口令Getshell

文章源自【字节脉搏社区】-字节脉搏实验室

作者-purplet

知识点：什么是war包

war 包是一种打包格式 Java web工程，都是打成war包，进行发布，打成war包的好处是不会缺少目录，并且只管理好一个发布文件就好，并且tomcat服务器能够自动识别，将war包放在tomcat容器的webapps下，启动服务，即可运行该项目，该war包会自动解压出一个同名的文件夹。 war 包的结构（是一个web 项目编译后的结果）

本篇文章以墨者学院的Tomcat后台弱口令漏洞利用这道题为例

首先访问页面发现是Tomcat8.0.33的，因为在实际渗透测试中我对Tomcat的漏洞挖掘只停留在 7.0.0-7.0.81 的CVE-2017-12615（Tomcat Put文件上传），面对以上版本的没有好的利用思路。本篇将对弱口令进入后台的利用做学习总结，至少以后可以多一种思路。

默认后台的路径是：manager/html，也可以直接点击“Manager App”，题目已知猜测是弱口令，尝试admin/123456进入后台，实际漏洞挖掘中可能需要进行一个暴力破解尝试登陆，或者对网站类型分析后查阅相关的默认账户和密码。

发现允许上传的是war包，所以我们需要将JSP马制作成war包进行上传，上传后会被Tomcat识别进行一个解压。

首先准备好一个jsp马，准备好Java环境，以管理员模式运行cmd，进入java\jdk1.8.0_241\bin的目录下，将jsp马复制到此文件夹下。

jar cvf +要生成的war木马 +自己bin目录下的jsp木马

完成后会在该目录下生成一个war木马。

最后对该war包进行上传，会看到生成路径

该war包将在根目录下自行解压，访问/xss/ma.jsp输入密码caicaihk即可。

最后在根目录下可以找到key值

附上jsp大马链接 链接：https://pan.baidu.com/s/1AXvrpt94shfVnnyqdizjHw 提取码：uqsy

本文章所用木马仅作实验，切勿用作非法用途。