Tomcat控制台(目前遇到的概率相对低一点)
- 默认账号:admin、tomcat
- 默认密码:admin、tomcat
- 后台可通过上传war包写webshell
爆破方式讲解
- 先使用Burp抓登陆包,找到鉴权字段,发现账号密码经过base64编码
- 鉴权字段的值进行base64解码以后,发现格式为:
账号:密码
- 此时将数据包发送到Intruder,选择爆破的方式为Sniper,并将base64编码后的信息设置为变量
- Payloads设定为Custom iterator(Custom iterator这里指相当于把一条爆破语句拆成三个部分:
账号:密码
)
- 设置Payload 1的值为
tomcat
,即用户名
- 设置Payload 2的值为
:
,即分隔符
- 设置Payload 3的值为需要爆破的密码
- 添加Payload Processing,选择编码方式为base64
- 取消勾选URL编码
- 开始爆破
拓展:PUT文件上传getshell(老版本的tomcat才能成功)
原理简介
- Tomcat中如果在配置文件中设置了
readonly=false
,就会产生任意文件上传漏洞。
- readonly的值默认是true(即不允许请求头delete和put操作),如果设置该参数为false,就可以通过put请求方法上传任意文件,从而上传webshell
实验复现(vulfocus靶场)
- 启动靶场环境,然后访问靶场环境的地址,访问的同时用Burp进行抓包,然后发送到Repeater
- 在Repeater中,将请求方法改成PUT,,PUT后的路径改成
/222.jsp
,然后打开冰蝎工具里的sever文件夹,将shell.jsp文件里的内容,复制到Repeater中的请求体里,点击send后相应201状态码
- 除了改成
PUT /222.jsp/
,还可以改成:
PUT /222.jsp%20
PUT /222.jsp::$DATA
- 此时用冰蝎连接上传的222.asp,发现成功建立连接
- source:securepulse.website
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论