她可能会爱上你的;
信息搜集
网站搭建为 CMS4J 2010 的CMS,很少见;
基于JAVA的内容管理系统,做事器为Tomcat,可大略在url后加上manager判断;
省韶光?
都知道,渗透一个网站或者说渗透一个内网,前期最紧张的便是信息搜集,但这里为什么看到tomcat就没又连续从CMS下手了?
一个字,
但这种习气是不好的,这里只是想快点拿下shell;
还想说点题外话,有的小伙伴刚入门,思想仅仅局限于去找CMS的公开漏洞,碰到RCE还好,如果是注入一类的,只是把思路局限于找后台,进后台,日后台...
这样会大大摧残浪费蹂躏韶光,反而可能会得不到好的效果;
碰到这类Tomcat站或者说这类JAVA Web,该当首先想到如果存在任意文件读取的漏洞那就不很方便了;
为了让大家方便看到效果,把站丢到AWVS11去扫了扫,果真存在;
存在任意文件读取,碰到这里该当很随意马虎想到去读取tomcat的配置文件,里面躺着manager的管理账号和密码;
默认位置在:/usr/local/tomcat/conf/tomcat-users.xml
/usr/local/tomcat 为安装目录;
直接访问:http://www.xxxxxxx.com/DownloadFile?file=../../../../../../../../../../usr/local/tomcat/conf/tomcat-users.xml
可以拿到管理账户密码:
<user username=\"大众tomcat\"大众 password=\公众xxxxxx@xxxx.xxxx\公众 roles=\公众tomcat,manager-gui\"大众/>
访问上岸成功;
Tomcat管理Getshell
得心应手,上传war包;
随便zip压缩一个jsp的shell,变动后缀为.war;
然后支配到做事器即可;
支配成功,如果war包名为shell.war,shell为shell.jsp,访问根目录/shell/shell.jsp即可;
很顺利拿到shell;
除此之外?
通过AWVS11又创造了意外收成,这个Apache Tomcat存在axis2;
axis2也可以理解为一个支配app的后台,只不过上传的不是war包,而是aar包,这并不是大略zip就能搞定的了;
后台路径:/axis2/axis2-admin/login
默认管理密码:admin axis2 ;并没有修正....
支配aar包;
至于怎么天生aar,和怎么利用网上很多,如这篇最新的,作者前几个月已经更新cat.aar:http://javaweb.org/?p=1548
后
碰到一个站,并不一定非得从运用高下手,从中间件下手可能会有出乎猜想的结果,省事省力省韶光,和乐而不为?
