Tomcat是Apache软件基金会的一个免费的、开放源码的WEB应用服务器,可以运行在Linux和Windows等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户的喜爱。目前,互联网上绝大多数JAVA WEB应用都运行在Tomcat服务器上。
Tomcat作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以研究Tomcat的漏洞与安全性就非常有必要。本文通过实例详细的讲述了关于Tomcat攻防两个方面。笔者首先在攻击者的角度,以一个在渗透测试过程中经常利用的Tomcat漏洞作为实例,来详细描述攻击者是如何利用Tomcat服务器漏洞来入侵网站,并最终完全控制服务器的,然后又以网络安全管理人员的角度,针对Tomcat的特点,详细地介绍了如何对Tomcat进行安全加固。
利用Tomcat管理后台配置弱点渗透网站实例
Tomcat默认存在一个管理后台,默认的管理地址是http://IP或域名:端口号/manager/html。通过此后台,可以在不重启Tomcat服务的情况下方便地部署、启动、停止或卸载WEB应用。但是,如果配置不当的话就存在很大的安全隐患。攻击者利用这个弱点可以非常快速、轻松地入侵一台服务器,下面我们来看一个实例。
目标IP:192.168.30.128
目的:完全控制服务器,获取到管理员权限
渗透过程:
现在我们来访问http://192.168.30.128:8080/manager/html,服务器会提示输入账号和密码,如图1所示。
那么我们如何获取到这个用户名和密码呢?目前共有三种方法可以选择:
一、如果采用的是运行在Windows平台上的Tomcat安装版,并且版本在Tomcat 5.5.0 to 5.5.28或Tomcat 6.0.0 to 6.0.20之间,我们可以利用CVE-2009-3548这个漏洞来登录后台。受该漏洞影响的Tomcat版本如果在安装时不更改,那么Tomcat默认会建立一个名为“admin”,密码为空的具有管理权限的账号。下图2是tomcat安装版5.5.27的默认tomcat-users.xml配置文件:
注:Linux平台及Windows平台免安装版本不受该漏洞影响。
二、如果采用类似“tomcat”、“654321”等这种很容易让人猜到的字符作为密码的话,我们可以直接猜测出该后台的账号和密码。
三、如果前两种方法都没有效果的话,我们可以采用暴力破解的方法来破解账号和密码,成功率取决于字典是否强大。在Windows和Metasploit下都有这样的工具,下面我们来演示如何利用Metasploit下的工具暴力破解Tomcat后台账号、密码。
首先打开Metasploit控制台,输入“use auxiliary/scanner/http/tomcat_mgr_login”,然后设置相应的配置信息,可设置的信息如下图3所示。
设置好后,输入“run”命令开始执行脚本。因为密码比较简单,所以很快就破解成功了,如图4所示。
现在我们获取到了Tomcat管理后台的账号和密码,可以直接登录后台,上传一个war格式的木马,这样我们就得到了一个webshell,如图5所示
从图6我们可以看到,Tomcat是以system权限运行的,这是系统最高权限。因此,我们不需要提权就可以直接添加后门账号。
从上图7我们看到成功添加了一个名为jspshell的管理员组账号,并且目标服务器开启了3389端口,我们可以通过远程桌面来登录,如图8所示。
到此为此,这台服务器已经在我们的完全控制之下了。从上面的过程中我们可以看到这类漏洞的导致的后果非常严重,而且攻击难度较低。实际上,中国电信某业务系统就曾经出现过这样的漏洞,如图9所示。
安全加固
Tomcat的安全加固我们主要从以下两点考虑:一是Tomcat Web Server本身是否安全,比如是否存在安全漏洞;二是Tomcat Web Server是否提供了可使用的安全功能,这部分主要是检查Tomcat的配置是否得当,在安全性、可用性、稳定性之间取得平衡。
Tomcat版本的选择与安装注意事项
检查目前使用的Tomcat版本是否存在安全漏洞,如果存在安全漏洞,则需要升级到新的安全版本。在选择Tomcat的版本时,我们一般选择最新的稳定版本。这样可以在安全性和稳定性之间取得一个很好的平衡。如果要从低版本升级到高版本,建议先在测试环境中测试通过后再进行升级,以避免由于兼容性带来的问题。关于Tomcat的安全漏洞可以关注官方发布的安全公告(http://tomcat.apache.org/security.html),也可以关注一些漏洞发布平台的最新Tomcat漏洞信息。
在安装时使用自定义的安装路径,并自定义WEB根目录。可以在Tomcat安装目录的conf目录下的server.xml中修改默认WEB根目录。打开server.xml,找到如下图10所示的内容:
在</Host>之前加入类似以下内容:
<Context path="" docBase="D:/javaweb" debug="0" reloadable="true" crossContext="true" />
上面语句的作用是设置Tomcat虚拟路径,path代表虚拟目录,可自定义,也可以为空,docBase代表物理路径。如果按上面的设置,当访问http://192.168.30.128:8080时实际访问的是D:javaweb目录下的文件。如果path的值不为空,如设置为path=”java”时,那么访问时应该这样:http://192.168.30.128:8080/java。在修改完成后,需要重启tomcat服务生效。
Tomcat安全配置
a. Tomcat降权
在Windows环境下,Tomcat默认以System权限运行(如图11),这样的后果是一旦成功入侵WEB应用,将直接得到一个高权限的Webshell,并且不需要提权操作就可以完全控制服务器。
现在我们来对Tomcat进行降权操作。首先新建一个用户,设置复杂的密码,并且让它不属于任何用户组,如图12所示。
接着打开“本地安全策略”--->“本地策略”--->“用户权限分配”,找到“作为服务登录”项,把刚刚新建的用户添加进去,如图13。
然后打开“服务”组件,找到Tomcat的服务,右键“属性”--->“登录”,用刚新建的tomcat账号运行Tomcat服务,如图14
再找到Tomcat安装目录,只为“Administrators组”和“tomcat”账户分配完全控制权限,并将其他账户权限全部删除。如果不为tomcat账户分配权限,Tomcat服务将无法启动。然后需要以最小权限原则为Tomcat日志目录和WEB目录单独分配权限,日志目录只需要分配“读取”和“写入”权限即可。
注:WEB目录权限分配可依据以下原则:有写入权限,一定不要分配执行权限;有执行权限,一定不要分配写入权限。
网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限,其他目录一般只分配“读取”权限即可。配置好后,需要重启Tomcat服务才能生效。
b. Tomcat日志安全配置
不论在那种服务器上,日志都是一个非常重要的部分,我们需要对它严加保护,在Tomcat上也是如此,它的日志默认保存在Tomcat安装目录的logs目录下。要注意的是Tomcat默认并没有开启访问日志,所以我们需要手工开启它。打开server.xml,找到如下代码,去掉它们的注释,具体如下图16所示.
然后修改日志的默认保存路径,并设置只允许系统管理员有日志保存目录的完全控制权限,tomcat账户有“读取”和“写入”权限即可,如图17所示
c. 删除默认文档和示例程序
如果没有自定义WEB目录,还需要将默认WEB根目录下的servlets-examples和tomcat-docs目录及其及下的所有文件都删除。以避免造成不必要的信息泄露或其他漏洞。servlets-examples和tomcat-docs目录下的一些样例都曾出现过安全漏洞,如CVE-2007-2449和CVE-2007-1355。
d. Tomcat默认管理后台安全配置
Tomcat默认存在一个管理后台,如果配置不当的话会引起非常严重的安全漏洞。在最开始的实例中我们就是利用该漏洞成功入侵目标服务器的。因此,我们非常有必要对它进行安全加固。一般情况下我们不需要该功能,所以建议删除该管理页面。方法是将%tocmat_home%/conf/Catalina/localhost目录下的manager.xml删除掉。
如果一定要使用的话,建议将该manager.xml的文件名修改为一个难猜测出来的文件名,并且找到Tomcat安装目录的conf目录下的tomcat-user.xml,设置一个复杂的管理员账号和密码。