Utilizzo arbitrario dello sfruttamento dei file dell'applicazione Tomcat

0

Nel recente pen-test black-box di una webapp ospitata su CentOS, ho trovato una vulnerabilità che mi permetteva di prendere il contenuto di file (tipo di inclusione di file) che si trova all'interno del percorso home di Tomcat .

Nello scenario classico, ho provato a leggere /etc/passwd ma non sono riuscito a recuperare i contenuti. Sembra che Apache Tomcat proibisca al server Web di leggere al di fuori del percorso dell'app Web. Il parametro vulnerabile si trova nella richiesta GET e l'applicazione aggiunge .jsp a quello e prova a leggerlo.

Ad esempio , se navighiamo a http://site.com/abc.jsp?param=en , l'applicazione proverà a caricare /some/folder/somefile_en.jsp file dal filesystem. Se fallisce, restituisce HTTP status code 500 con java.io.IOException stack-trace.

Per aggirare la restrizione .jsp , ho aggiunto ? alla fine del parametro vulnerabile come http://site.com/abc.jsp?param=asdasd_asdasd/../../../../META-INF/MANIFEST.MF? . Sono stato solo in grado di leggere questi file:

  • /META-INF/context.xml
  • /META-INF/MANIFEST.MF
  • /WEB-INF/web.xml

Non so quali altri file posso leggere (perché non ho una lista fuzz per le app java).

Q: Potresti fornirmi una lista fuzz per trovare altri file sensibili nel filesystem o potresti suggerirmi altri vettori di attacco?

P.S. Potrei enumerare i nomi di file e directory in base alla risposta HTTP. Se il file non esiste, viene visualizzato questo tipo di messaggio di errore:

    
posta puni aze 20.11.2018 - 00:29
fonte

1 risposta

0

Could you give me fuzz list for finding other sensitive files in filesystem ..

Come già hai menzionato, It seems, Apache Tomcat forbids web server from reading outside of web app path. , e questo è carino comune. Potresti probabilmente provare altri file predefiniti di Tomcat come descritto in lista fuzz ha fornito il mio SecList .

Ne citerò alcuni:

  • /conf/server.xml/
  • /WEB-INF/web.xml
  • /manager/deploy?path=foo
  • /webdav (controlla this )

Inoltre, alcuni articoli utili per aiutarti con LFI:

Dopodiché, e se possibile , dovresti considerare di cercare la maggior parte dei file comuni di distribuzioni Linux, come descritto in questo articolo .

.. or could you suggest me other attack vectors?

Per Apache Tomcat puoi provare gli ultimi CVE esistenti e per CentOS qui , ma dovresti davvero continua la raccolta delle informazioni, perché il sistema operativo e il server web non sono un'indagine completa (almeno, è un punto di partenza, ¯\_(ツ)_/¯ ).

Siate consapevoli , che la raccolta di informazioni nei test di penetrazione è il passo più prezioso per continuare ulteriormente.

    
risposta data 22.11.2018 - 09:10
fonte

Leggi altre domande sui tag