本文提供的资料和信息仅供学习交流,不得用于非法用途;

对于因使用本文内容而产生的任何直接或间接损失,博主不承担任何责任;

本文尊重他人的知识产权,如有侵犯您的合法权益,请在vx公众号SecurePulse后台私信联系我们,我们将尽快删除

本文来源:大白哥红队攻防演练课程(Des师傅授课部分)

需要咨询课程详情,请扫下方二维码添加大白哥绿泡泡

Tomcat控制台(目前遇到的概率相对低一点)

  • 默认账号:admin、tomcat

  • 默认密码:admin、tomcat

  • 后台可通过上传war包写webshell

爆破方式讲解

  • 先使用Burp抓登陆包,找到鉴权字段,发现账号密码经过base64编码

  • 鉴权字段的值进行base64解码以后,发现格式为:账号:密码

  • 此时将数据包发送到Intruder,选择爆破的方式为Sniper,并将base64编码后的信息设置为变量

  • Payloads设定为Custom iterator(Custom iterator这里指相当于把一条爆破语句拆成三个部分:账号:密码

  • 设置Payload 1的值为 tomcat,即用户名

  • 设置Payload 2的值为 :,即分隔符

  • 设置Payload 3的值为需要爆破的密码

  • 添加Payload Processing,选择编码方式为base64

  • 取消勾选URL编码

  • 开始爆破

拓展:PUT文件上传getshell(老版本的tomcat才能成功)

原理简介

  • Tomcat中如果在配置文件中设置了readonly=false,就会产生任意文件上传漏洞。

  • readonly的值默认是true(即不允许请求头delete和put操作),如果设置该参数为false,就可以通过put请求方法上传任意文件,从而上传webshell

实验复现(vulfocus靶场)

  • 启动靶场环境,然后访问靶场环境的地址,访问的同时用Burp进行抓包,然后发送到Repeater

  • 在Repeater中,将请求方法改成PUT,,PUT后的路径改成/222.jsp,然后打开冰蝎工具里的sever文件夹,将shell.jsp文件里的内容,复制到Repeater中的请求体里,点击send后相应201状态码

  • 除了改成PUT /222.jsp/,还可以改成:

  • PUT /222.jsp%20

  • PUT /222.jsp::$DATA

  • 此时用冰蝎连接上传的222.asp,发现成功建立连接