Tomcat管理后台易推倒性探究 – 作者:一颗大圆白菜

前言

Tomcat管理后台存在弱口令可以直接上Webshell,同时,公网上有大量的Tomcat后台可以直接访问到,如何高效的检查Tomcat弱口令也有一点点需求吧^_<,网上找了一圈文章,基本没有看到哪篇文章详细说什么版本的Tomcat后台比较弱鸡易推倒(可能是这个问题不太重要 -_-||),趁着最近蹲家里待业,把以前查到的资料整理出来和大家交流,欢迎评论区讨论。

Tomcat管理后台介绍

在许多生产环境中,Tomcat后台可以在不重启整个容器的前提下部署新的Web应用或取消部署现有的Web应用,此外还可以重新加载现有应用程序,默认路径为是http://x.x.x.x/manager/html/。

主要具有的功能:

部署新的Web应用(可部署Webshell);

管理现有Web应用,及其连接情况;

显示系统和JVM版本信息、内存使用情况等。

1622535478_60b5ed362ec427c5b8e06.png!small?1622535478366

Tomcat后台身份验证安全问题

由于tomcat后台登陆界面和数据包是下图这种“弱不禁爆”的样子,总让人忍不住爆它X。

1622536146_60b5efd29e46e6ad13f74.png!small?1622536147263

但是它真的如表面上的那般柔弱吗?我不禁想深入探究一下。在查阅官方文档后,发现Tomcat后台有三处有关后台爆破的安全配置,以7.0.70为例:

在$CATALINA_BASE/conf/tomcat-users.xml添加用户,如:

1622535541_60b5ed75dd8d9edb3412a.png!small?1622535541989

在$CATALINA_BASE/webapps/manager/META-INF/context.xml配置允许访问的IP,如:

1622535550_60b5ed7e2580cb921baa2.png!small?1622535550233

在$CATALINA_BASE/conf/server.xml 中配置用户名密码输入错误次数达到阈值就锁定的功能(可配置错误次数和锁定时间,默认为5次错误锁5分钟,详细配置可以自行查阅官网)

1622535556_60b5ed84999ee87484311.png!small?1622535556709

看来还是有三把刷子。

不过一般问题都出现在管理员在生产环境上采用应用默认配置,所以来查一下这三把刷子分别是什么时候给配上的(由于官网只能查到Tomcat 6.0.0版本以上的更新日志,所以仅查Tomcat 6.0.0以上)

$CATALINA_BASE/conf/tomcat-users.xml  在Tomcat 6.0.0及以上无默认用户;

$CATALINA_BASE/webapps/manager/META-INF/context.xml Tomcat 6版本直到Tomcat 6.0.53(写文时的最新版)均未默认开启本地访问,Tomcat 7版本在Tomcat 7.0.107及以上默认仅本地访问(未在更新文档中找到相关说明,可能不准确)1622535825_60b5ee915512eee02a55d.png!small?1622535825579

$CATALINA_BASE/conf/server.xml  Tomcat 6版本在6.0.51及以上默认开启错误阈值配置,Tomcat 7版本分两个情况:

在windows平台上用二进制可执行文件(.exe文件)的方式安装,在7.0.8及以上默认开启错误阈值;

其余方式安装均在7.0.1及以上版本默认开启。1622535838_60b5ee9ed5f93faaea336.png!small?1622535839106

对比这三点可以发现,如果想要检查tomcat后台弱口令,考虑到效率及覆盖率问题,比较合适的检查分界点可以参考第3点即默认错误次数阈值配置。具体就是:

Linux服务器仅在6.0.51版本前用大字典爆破,Windows服务器在7.0.8之前用大字典爆破;

写了个小工具,需要的自取:https://github.com/tiny-architect/brute-forceWebapp

Tips:如果还要再提高检查效率,可以再参考第2点,高本版的后台站直接丢弃。

建议

1、生产环境允许更新就更新到最新版本并视情况修改默认配置;

2、无法更新就视情况修改应用默认配置;

3、Tomcat 6版本建议至少更新到6.0.19以后,因为6.0.19之前不支持用户名密码输入错误次数达到阈值就锁定的功能。

来源:freebuf.com 2021-06-01 16:40:53 by: 一颗大圆白菜

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论