menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right yougar0.github.io(基于零组公开漏洞库 + PeiQi文库的一些漏洞)-20210715 chevron_right Web安全 chevron_right Tomcat chevron_right Tomcat 后台爆破.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Tomcat 后台爆破.md
    2.29 KB / 2021-04-21 09:23:46
        Tomcat 后台爆破
    ===============
    
    一、漏洞简介
    ------------
    
    二、漏洞影响
    ------------
    
    三、复现过程
    ------------
    
    在渗透测试中,我们经常遇到tomcat后台被默认部署在外部的情况,类似于`http://192.168.3.204:8080/host-manager/html`
    
    在这种情况下,我们都会选择去爆破来进入后台部署shell。
    
    先抓取一下我们的登录包:
    
        GET /host-manager/html HTTP/1.1
        Host: 192.168.3.204:8080
        User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0 FirePHP/0.7.4
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
        Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
        Accept-Encoding: gzip, deflate
        DNT: 1
        x-insight: activate
        Connection: keep-alive
        Upgrade-Insecure-Requests: 1
        Authorization: Basic YWRtaW46MTIzNDU2
    
    在Tomcat后台登录的数据包中我们发现它会将输入的账号和密码都编码成Base64密文。
    
    格式:`用户名:密码` =\> `admin:123456` =\> `YWRtaW46MTIzNDU2`
    
    这里我们可以采用Metasploit中的tomcat爆破辅助模块,当然也可以用BurpSuite来爆破:
    
    将数据包发送到Intruder模块,添加一个变量:
    
    ![](./resource/Tomcat后台爆破/media/rId24.jpg)
    
    在设置Payload的时候要使用自定义迭代器:
    
    ![](./resource/Tomcat后台爆破/media/rId25.jpg)
    
    由于登录令牌都是`base64`加密的,我们需要
    `[用户名]:[密码]`这样的格式进行`base64encde`才可以发送出去,我们设置三个迭代payload分别代表:用户名、:、密码、。
    
    ![](./resource/Tomcat后台爆破/media/rId26.jpg)
    
    第一位设置用户名这类的字典,可以多个。
    
    ![](./resource/Tomcat后台爆破/media/rId27.jpg)
    
    第二位设置`:`,只需要一个即可。
    
    ![](./resource/Tomcat后台爆破/media/rId28.jpg)
    
    第三位设置密码,可以多个。
    
    然后设置一个编码器,选择`base64`这个函数:
    
    ![](./resource/Tomcat后台爆破/media/rId29.jpg)
    
    接下来再将url编码去掉,因为在base64密文里`=`会被编码成`%3d`。
    
    ![](./resource/Tomcat后台爆破/media/rId30.jpg)
    
    设置完毕后,我们可以爆破了:
    
    ![](./resource/Tomcat后台爆破/media/rId31.jpg)
    
    参考链接
    --------
    
    > https://payloads.online/archivers/2017-08-17/2\#tomcat-%E7%88%86%E7%A0%B4
    
    
    links
    file_download