在Tomcat中,應用程序的部署很簡單,只需將你的WAR放到Tomcat的webapp目錄下,Tomcat會自動檢測到這個文件,並將其解壓。在瀏覽器中訪問這個應用的Jsp時,通常第一次會很慢,因為Tomcat要將Jsp轉化為Servlet文件,然后編譯。編譯以后,訪問將會很快。另外Tomcat也提供了一個應用:manager,訪問這個應用需要用戶名和密碼,用戶名和密碼存儲在一個xml文件中。通過這個應用,輔助於Ftp,可以在遠程通過Web部署和撤銷應用,當然本地也可以,本案例就是利用這個特性來構建后門程序的。
Tomcat不僅僅是一個Servlet容器,它也具有傳統的Web服務器的功能:處理Html頁面。但是與Apache相比,它的處理靜態Html的能力就不如Apache。可以將Tomcat和Apache集成到一塊,讓Apache處理靜態Html,而Tomcat處理Jsp和Servlet.這種集成只需要修改一下Apache和Tomcat的配置文件即可。
(一)檢查Tomcat設置。服務器安裝了Apache Tomcat后會默認開放8080端口供外部連接,一般在瀏覽器中輸入“IP:8080”或者域名來訪問Apache Tomcat頁面,如圖1所示。
圖1 連接到Tomcat的頁面
(二)查看Tomcat用戶配置文件。Tomcat安裝完成后有一個配置文件“tomcat-users.xml”,它位於Tomcat程序安裝目錄下的conf目錄下,直接打開該文件可以看到其中關於用戶名和密碼的明文值,如圖2所示,找到並記住包含“admin,manager”那一行的用戶名和密碼。(這里的tomcat-user.xml指的是Catalina_base下的那個tomcat-users.xml文件,而不是Catalina_home下的)
圖2 獲取用戶配置的用戶名和密碼
說明:
(1)有很多對tomcat不是很了解的管理員在安裝完Tomcat后並沒有修改默認密碼,用戶名是admin,密碼為空,如果是這種情況可以直接登錄。
(2)如果用戶修改了該密碼,那么其密碼一定保存在“tomcat-users.xml”中,因此可以通過Webshell來獲取這個文件的內容。
(三)進入Tomcat管理。Tomcat提供了在線管理,本案例也正式利用在線管理來構建后門的。在圖1中單擊左上角下面的“Tomcat Manager”鏈接后,會彈出一個要求輸入用戶名和密碼的窗口,該窗口跟Windows登錄窗口有點類似,如圖3所示。
圖3 登錄Tomcat管理應用
(四)查看部署情況。在圖3中輸入從“tomcat-users.xml”文件中獲取的具有管理員權限的用戶名和密碼,驗證通過后進入部署管理頁面,如圖4所示。
圖4 部署管理頁面
說明:
(1)在部署管理頁面中可以“Start”(啟動)、“Stop”(停止)、“Reload”(重載)、“Undeploy”(刪除部署)已經部署的項目,單擊“Undeploy”會對文件進行物理刪除。
(2)部署的文件夾是以*.war文件的名稱,例如上傳的文件是job.war,則在Tomcat目錄中會對應生成一個“job”文件夾 。
(五)部署JSP WebShell后門程序。在部署管理頁面的下方有一個“WAR file to deploy”,單擊瀏覽選擇一個已經設置好的后門war文件,在本例中的后門程序為job.war,單擊“deploy”將該文件部署到服務器上,如圖5所示。
圖5 上傳后門war文件到服務器
說明
(1)部署是其文件必須是war文件。
(2)將winzip軟件安裝在系統中,然后將單一或者多個jsp后門文件壓縮成一個壓縮文件,壓縮成功后,將“*.zip”文件更名為“*.war”即可。
(3)上傳文件后,tomcat會自動進行部署並運行。
(六)測試后門程序。在地址欄中輸入“部署文件名稱/jsp文件”,例如在本例中其正確的訪問是“[url]http://127.0.0.1:8080/job/job.jsp[/url]”,如果設置正確會顯示如圖6所示的Webshell登錄窗口。
圖6 登錄webshell
(七)在Webshell中執行命令。在Webshell中輸入密碼后,進入到Webshell管理界面,默認顯示服務器的一些信息,在功能菜單中選擇“執行命令”,並在執行命令輸入框中輸入“netstat -an”命令可以查看網絡連接等,如圖7所示。
圖7 執行命令
說明
(1)通過這種方式部署的Jsp后門程序具有較大權限,可以執行添加用戶等危險命令。
(2)jsp后門中可以通過“文件系統”模塊來對文件進行操作;通過“數據庫”模塊來連接數據庫等操作;
(3)本案例構建后門也正是這里,平時可以在系統中保留一個小的后門程序,如果后門程序被殺毒軟件查殺或者被管理員發現並刪除掉了,則可以通過以上步驟重新進行部署,從而循環永久保留后門。
小結
本案例介紹的情況適合於管理員(admin)密碼為空的情況,同時也適合於獲取了tomcat中的tomcat-users.xml文件中的用戶名和密碼的情況。一般來講內網相對防護要弱一些,因此該案例對於內網滲透時有一定的幫助。由於本人對jsp不是特別熟悉,尤其是部署設置,不知道在jsp中是否也可以進行諸如IIS中的嚴格權限限制,能否禁止jspwebshell的執行,本案例是對服務器攻防的一種探討,功能強大的應用程序往往一個弱小的漏洞就可以攻破整個系統。
后記
通過google對tomcat的一些關鍵字進行了搜索,沒有遇到管理員為空的,我使用inurl:8080 關鍵字進行搜索的(常用方法,其實修改下端口就能避免大部分這種攻擊),不知道還有什么好的方法來進行搜索