服务检测 - Tomcat Manager：从“信息”到“入侵”

作者：Carrie Roberts
注意： 本文引用的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能更新或集成到现代工具和技术中。

继续讨论Nessus漏洞扫描结果比报告更严重的主题……

我总是审查Nessus报告的“信息”级别“服务检测”发现，特别是它列出的任何Web服务器，因为其中通常隐藏着明显的安全问题。

这就像在Web浏览器中访问每个主机:端口组合并查看服务器响应一样简单。为了在处理大量结果时帮助我，我使用Chris Truncer开发的免费工具EyeWitness，该工具从Nessus扫描中读取所有协议、主机和端口组合，并为每个组合截图，就像您在Web浏览器中手动访问一样。这使我能够快速浏览图像并挑选出感兴趣或关注的服务。其他类似且推荐的工具包括Tim Tomes的PeepingTom和@al14s的Rawr。

在最近的渗透测试中，我没有这些工具可用，因此我只是使用Web浏览器并手动输入URL。扫描结果显示，多个主机的8080端口上运行着Web服务器。在其中一个主机上，这显示了一个Apache Tomcat页面，其中包含指向Tomcat Manager的链接。

需要用户名和密码才能访问管理器，但令我惊讶的是，默认用户名“admin”和空白密码竟然有效。我之所以感到惊讶，是因为我认为Nessus应该将此突出显示为漏洞。但话又说回来，我经常看到Nessus错过默认凭证发现，所以我不应该感到惊讶。

访问管理器允许从其界面部署WAR文件，如下所示。

攻击者或渗透测试人员可以随后将Web shell部署到服务器，以获取对服务器的命令shell访问权限。您可以利用Secure Ideas赞助的Laudanum项目中的预构建WAR文件（包含Web shell）进行此利用。

因此，您看到了，信息发现中的一个小金块实际上是一个关键漏洞，允许对服务器进行命令shell访问。

您可以从Carrie的课程中学到更多！
查看这里：

• 攻击仿真工具：Atomic Red Team、CALDERA等
• PowerShell for InfoSec
  提供实时/虚拟和点播课程！