服务检测 - Tomcat Manager：从"信息"到"致命漏洞"

作者：Carrie Roberts
顾问提示： 本文提及的技术工具可能已过时，但仍可作为学习参考，并可能集成到现代工具链中。

延续之前关于Nessus漏洞扫描结果实际危害性高于报告等级的系列主题…

我始终会审查Nessus报告的"信息"级别"服务检测"结果，特别是其中列出的所有Web服务器，因为这里往往隐藏着明显的安全问题。

手动验证与工具辅助

最简单的验证方式就是通过浏览器访问每个主机:端口组合并观察服务器响应。当需要处理大量结果时，我使用Chris Truncer开发的免费工具EyeWitness——该工具能读取Nessus扫描中的所有协议、主机和端口组合，并自动截取每个服务的网页截图，如同手动访问一般。这使我能够快速浏览图像并识别出值得关注的服务。其他推荐工具还包括Tim Tomes的PeepingTom和@al14s的Rawr。

在最近一次渗透测试中，由于无法使用这些工具，我直接手动输入URL进行访问。扫描结果显示多个主机的8080端口运行着Web服务。其中一个主机显示了Apache Tomcat页面，并包含Tomcat Manager的访问链接。

默认凭证的致命漏洞

虽然Manager需要用户名密码验证，但令人惊讶的是，默认用户名"admin"配合空密码竟然成功登录。更令人意外的是，Nessus竟然没有将此标识为漏洞——不过考虑到我经常发现Nessus漏报默认凭证问题，这似乎又在情理之中。

获得Manager访问权限后，攻击者可以通过界面直接部署WAR文件，如下图所示：

武器化利用：WebShell部署

攻击者或渗透测试人员可以部署包含WebShell的WAR文件来获取服务器的命令控制权限。在此类利用中，可以使用Secure Ideas赞助的Laudanum项目中预构建的包含WebShell的WAR文件。

总结

这就是一个隐藏在信息级发现中的"黄金漏洞"——实际上这是允许获得服务器命令控制权限的关键漏洞。

延伸学习：
您可以通过Carrie的课程深入学习：

• 攻击模拟工具：Atomic Red Team、CALDERA等
• PowerShell在信息安全中的应用
  提供直播/虚拟和点播学习方式！

相关阅读：

• Asterisk SIP服务器：从"信息"到"致命漏洞"
• 修改Metasploit x64模板实现AV规避

Black Hills Information Security, Inc. | 890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008 | 关于我们 | BHIS企业家族 | 隐私政策 | 联系我们