（二）内网渗透之tomcat中间件漏洞

使用端口扫描、漏洞扫描验证扫描目标开放的端口，在对应端口上开放的服务，运行该服务的软件和版本号。
如果只是使用端口扫描，只是发现开放的端口，接着使用 nc 、nmap可以获取端口上服务的 banner 信息，获取 banner 信息后需要在漏洞库上查找对应 CVE，后面就是验证漏洞是否存在。如果是使用漏洞扫描工具可以直接获取对应端口上的漏洞，后面也是验证漏洞。
安全检查一般是尽可能的发现所有漏洞，对漏洞的风险进行评估和修复。入侵的话只关注高危远程代码执行和敏感信息泄露漏洞等可以直接利用的漏洞。

漏洞验证可以找对应的 CVE 编号的 POC、EXP，利用代码在 ExploitDB 、seebug上查看或者在 github 上搜索是否有相关的漏洞验证或利用的工具。

2.1 Web

2.1.1 自定义 Web 应用

从公网直接攻击目标对外的 Web 应用，或者在授权的情况下在内网进行渗透测试，如果是入侵目的可以直接寻找注入、上传、代码执行、文件包含等高危漏洞，尝试获取系统权限，或者直接能拿到敏感数据。
允许扫描的话一般使用 WVS和APPScan 直接扫描，也可以使用专门扫描特定漏洞的扫描工具如 sqlmap、XSStrike 等工具扫描特定类型的漏洞。不允许直接扫描，使用 Burp 手工慢慢找了。

1. Tomcat

Tomcat是Apache Jakarta软件组织的一个子项目，Tomcat是一个JSP/Servlet容器，它是在SUN公司的JSWDK（Java Server Web Development Kit）基础上发展起来的一个JSP和Servlet规范的标准实现，使用Tomcat可以体验JSP和Servlet的最新规范。

端口号：8080
攻击方法：
- 默认口令、弱口令，爆破，tomcat5 默认有两个角色：tomcat和role1。其中账号both、tomcat、role1的默认密码都是tomcat。弱口令一般存在5以下的版本中。
- 在管理后台部署 war 后门文件
- 远程代码执行漏洞

（1） tomcat 对应CVE-2017-12615-远程代码执行漏洞 CVE-2017-12616-信息泄露漏洞，此漏洞默认情况下不受影响。

CVE-2017-12616需要在server.xml文件配置virtualDirContext参数，默认无此配置，影响版本7.0.0-7.0.8

CVE-2017-12615需要在Windows环境下，conf/web.xml配置readonly属性，将默认参数true改为false（Tomcat默认开启put方法，可采用nmap和options方法测试是否开启put方法），影响版本7.0.0-7.0.79

两个漏洞分析具体参考：https://paper.seebug.org/399/#_5

（2）CVE-2009-3548，tomcat可利用这个漏洞来登录后台。受该漏洞影响的Tomcat版本如果在安装时不更改，那么Tomcat默认会建立一个名为“admin”，密码为空的具有管理权限的账号。受影响版本 5.5.0 to 5.5.28或Tomcat 6.0.0 to 6.0.20之间。也可利用专门的tomcat弱口令爆破工具，metasploit也可爆破tomcat弱口令。

（3）CVE-2018-1305，Apache Tomcat曝出安全绕过漏洞，在servlet1添加servletsecurity注释，servlet2未添加注释的情况下，可导致未授权访问，可直接访问servlet2，但在执行完servlet1之后，servlet2便不可访问。影响版本：Apache Tomcat 8.5.28，Apache Tomcat 8.0.50，Apache Tomcat 7.0.85