Tomcat是我們在工作中所使用的一款開源輕量級的Web應(yīng)用程序服務(wù)器。通常情況下在中小型系統(tǒng)或者并發(fā)量較小的場合下使用，常用來與JSP腳本結(jié)合使來解析腳本語言部署搭建網(wǎng)站等系統(tǒng)。

war包是用來進(jìn)行Web開發(fā)時一個網(wǎng)站項目下的所有代碼,包括前臺HTML/CSS/JS代碼,以及后臺JavaWeb的代碼。當(dāng)開發(fā)人員開發(fā)完畢時,就會將源碼打包給測試人員測試,測試完后若要發(fā)布則也會打包成War包進(jìn)行發(fā)布。War包可以放在Tomcat下的webapps或word目錄,當(dāng)Tomcat服務(wù)器啟動時，War包即會隨之解壓源代碼來進(jìn)行自動部署。

Tomcat7+權(quán)限分為：

manager（后臺管理）

manager-gui 擁有html頁面權(quán)限

manager-status 擁有查看status的權(quán)限

manager-script 擁有text接口的權(quán)限，和status權(quán)限

manager-jmx 擁有jmx權(quán)限，和status權(quán)限

host-manager（虛擬主機管理）

admin-gui 擁有html頁面權(quán)限

admin-script 擁有text接口權(quán)限

在這里我們將Tomcat的幾大高危漏洞整理至以下：

1、Tomcat后臺弱口令上傳war包

2、Tomcat的PUT的上傳漏洞(CVE-2017-12615)

3、Tomcat反序列化漏洞(CVE-2016-8735)

4、Tomcat JMX服務(wù)器弱口令

5、Tomcat 樣例目錄session操控漏洞

6、Tomcat本地提權(quán)漏洞(CVE-2016-1240)

7Tomcat win版默認(rèn)空口令漏洞(CVE-2009-3548)

一般默認(rèn)安裝的tomcat7，雖然有web登陸頁面，但是默認(rèn)賬號和密碼是無法登陸的，需要修改tomcat-users.xml里面的配置文件，賦予用戶 mannger-gui (擁有HTML權(quán)限) 權(quán)限

正常安裝的情況下，tomcat8中默認(rèn)沒有任何用戶，且manager頁面只允許本地IP訪問。只有管理員手工修改了這些屬性的情況下，才可以進(jìn)行攻擊。

tomcat-users.xml文件

配置文件

打開tomcat管理頁面http://192.168.0.132:8080/manager/html，就是我們正常訪問tomcat頁面：（提示輸入用戶名和密碼）

tomcat管理頁面

先將jsp大馬壓縮為zip，再將zip后綴改名為war，然后上傳war包：

上傳

修復(fù)方案：

1、在系統(tǒng)上以低權(quán)限運行Tomcat應(yīng)用程序。創(chuàng)建一個專門的 Tomcat服務(wù)用戶，該用戶只能擁有一組最小權(quán)限（例如不允許遠(yuǎn)程登錄）。

2、增加對于本地和基于證書的身份驗證，部署賬戶鎖定機制（對于集中式認(rèn)證，目錄服務(wù)也要做相應(yīng)配置）。在CATALINA_HOME/conf/web.xml文件設(shè)置鎖定機制和時間超時限制。

3、以及針對manager-gui/manager-status/manager-script等目錄頁面設(shè)置最小權(quán)限訪問限制。

16.Tomcat弱口令 && 后臺getshell漏洞 - bmjoker - 博客園

Just a moment...