Tomcat是一款開源的Web服務器系統,用其搭建的Web站點系統開銷小、擴展性好,並且支持負載平衡與郵件服務等,因此頗受站長們的歡迎。值得一提的是Tomcat在Linux系統平臺上優勢明顯,不少用戶利用它搭建Web站點。最近,關於Tomcat的入侵非常火,有不少Web站點甚至服務器淪陷。讓人不安的是,實施Tomcat入侵技術門檻比較低,因此危害極大。下面筆者揭祕入侵過程,以便站長知己知彼,採取相應的措施,加固站點安全。
一、Tomcat入侵揭祕
1、掃描
和幾乎所有的入侵一樣,攻擊者對Tomcat的入侵也是從掃描開始的。現在網絡上針對Tomcat的掃描工具如雨後春筍般冒出來,一般的用戶極易獲得。並且其中的有些工具可以進行關鍵詞搜索掃描,攻擊者輸入相應關鍵詞就可以實施對某類Tomcat站點進行掃描入侵。
掃描的原理非常簡單,因爲Tomcat默認是通過8080端口對外提供Web服務的。這些工具就直接掃描網絡中開啓了8080端口的主機,並且其可以過濾開放8080端口的Web防火牆,縮小攻擊範圍。利用掃描工具攻擊者不但能夠獲得開啓了8080端口的Tomcat服務器的IP地址,還可以掃描自動猜解弱口令。(圖1)
2、後臺
有了上面掃描獲得的IP和弱口令後,攻擊者就可以通過默認的admin用戶登錄後臺。Tomcat的默認後臺是http://服務器IP:8080/manager/html,在瀏覽器地址欄中輸入該URL地址,彈出登錄對話框,輸入默認用戶名admin和弱口令即可登錄後臺。(圖2)
在Tomcat的後臺可以看到站點的所有目錄和文件,並且提供“Start”、“Stop”、“Reload”、“Undeploy”功能對目錄實施“開啓”、“停止”、“重啓”、“卸除”等操作。當然對於攻擊者來說,Tomcat後臺中提供的上傳功能可能是他們最爲感興趣的。在此可是上傳WAR文件,WAR文件是用於發佈的、打包後的web應用程序,上傳到Web站點後可以被執行。攻擊者可以把一個jsp網馬打包生成一個WAR文件,上傳後就可以運行該網馬。(圖3)
3、Webshell
通過後臺上傳用WAR打包的網馬後,就在Tomcat站點下生成與上傳文件同名的目錄。點擊該目錄,就可以看見jsp網馬,在瀏覽器中輸入該網馬的URL地址,就獲得了一個Webshell。不過通常情況下,攻擊者把網馬改名爲index.jsp,這樣點擊目錄就可以直接運行網馬。
在tomcat中獲得的Webshell的權限還是非常大的。可以瀏覽、修改站點中的所有文件,當然還可以創建文件。如果是Windows系統的話可以瀏覽個磁盤分區分區,執行系統命令。比如創建管理員帳戶,上傳並運行木馬等等。如果是linux系統的話,可以進入各個系統目錄,執行linux命令。比如我們可以通過ls -l列出當前目錄中的所有文件見圖4,查看並修改系統敏感文件/etc/passwd見圖5。可以想象我們把passwd中的root:x:0:0:root:/root:/bin/bash中的x刪除,那root用戶就是空密碼了。(圖4)(圖5)
4、提權滲透
通過Webshell攻擊者就可以對系統進行提權、滲透獲得整個服務器的控制權。這一部分內容,筆者僅僅點到爲止,就不進一步地揭祕了。
