对运行JSP服务器的渗透方法与其他脚本的渗透方法稍有不同,JSP网站一般需要通过WAR文件部署程序,对这类网站的渗透,可以通过暴力破解Tomcat用户密码及MySQL、Oracle数据库密码等方法获取WebShell。本节介绍的Apache Tomcat Crack软件对Tomcat服务器具有较好的暴力破解能力。
在起始IP地址中输入“216.84.0.1”,在终止IP地址中输入“216.120.0.1”,单击“添加”按钮,将该地址段添加到扫描地址段中,如图7-98所示,其他使用默认设置。
图7-98 暴力破解Tomcat口令
在扫描结果中选择“http://216.86.144.162:8080/manager/html”,然后进行登录测试。如图7-99所示,单击“Tomcat Manager”选项进行登录测试,输入用户名和密码进行登录。
图7-99 对扫描结果进行测试
进入Tomcat Manager管理后台后,到最下方进行WAR文件的部署。如图7-100所示,单击“浏览”按钮,选择一个WAR格式的WebShell,该WebShell必须是JSP的WebShell,WAR格式可以在压缩时将后缀自定义为“war”。
图7-100 部署WAR格式的WebShell
文件上传成功后,Tomcat会自动部署WAR文件。如图7-101所示,可以看到,在后台多了一个“/Browser”超链接,单击该超链接即可进入部署的文件夹。部署成功后,可以对部署的JSP WebShell进行启用(Start)、停止(Stop)、重载(Reload)和卸载(Undeploy)操作。
图7-101 查看Web部署情况
在部署时尽量将JSP文件命名为“index.jsp”,这样在部署成功后访问部署的链接即可,否则需要使用“部署文件夹+具体的WebShell名称”才能正确访问WebShell地址,如图7-102所示。
图7-102 获取WebShell
在WebShell中单击“系统命令”选项,进入执行命令界面。如图7-103所示,在文本框中输入“id”,获取系统当前用户的权限等信息。
图7-103 获取当前用户信息
通过获取的WebShell上传一个Jbrowser的WebShell。使用此WebShell浏览文件非常方便,如图7-104所示。
图7-104 上传WebShell
执行“cat /etc/shadow”命令,获取当前Linux系统中所有用户的加密密码值,如图7-105所示,该密码采用MD5加密,可以通过cmd5.com网站进行破解。
图7-105 获取系统用户密码加密值
执行“cat /root/.bash_history”命令查看root用户的历史操作记录,只有具有root用户权限才能查看该历史记录文件,如图7-106所示。
图7-106 查看root用户的历史操作记录
使用“www.yougetsignal.com”网站的反查IP域名功能,获取该IP地址的两个域名,分别是“communityaccesssystems.com”和“richardliggitt.com”,如图7-107所示,单击该域名查看域名能否正常访问。
图7-107 查看该网站域名情况
通过查看“/etc/passwd”文件中的网站用户获取网站的真实路径。通过WebShell定位网站的真实路径,如图7-108所示。在“/etc/passwd”文件中会指定单独的用户作为网站用户,同时会指定该用户的默认目录,该默认目录即为网站的真实路径。
图7-108 获取网站的真实路径
找到网站的真实路径后,继续查看该文件夹下的文件和内容。如图7-109所示,该文件夹为“testphp”,即PHP的测试文件夹,上传一个网页木马或者在源代码中加入一句话后门。
图7-109 网站留后门
本节介绍了如何通过Apache Tomcat Crack暴力破解Tomcat口令,只要知道用户的名称,就能通过字典对目标进行暴力破解。获取Tomcat管理员的用户名和密码后,可以通过WAR文件部署JSP的WebShell,如果设置不当,获取的WebShell权限即为root权限。