Tomcat文件上传基于Nginx绕过靶场全过程教学文档<\/h1>

前言<\/h2>
本教学文档详细分析了一个结合Tomcat和Nginx的Web靶场环境，重点讲解了如何绕过Nginx代理限制实现文件上传和代码执行的技术。该靶场环境展示了多种绕过技术，包括特殊WAR包命名、路径穿越、WAF绕过以及Listener初始化代码执行等方法。<\/p>

环境分析<\/h2>

靶场基本情况<\/h3>

靶场地址：https:\/\/web-10001-range.redcellsec.cn\/<\/li>
主要组件：Tomcat + Nginx<\/li>

Nginx配置：仅代理

\/manager\/*<\/code>路径的请求<\/li>
<\/ul>
发现入口<\/h3>

访问经典Tomcat管理路径\/manager<\/code>，发现Tomcat的icon图标<\/li>
尝试使用弱口令tomcat\/123456<\/code>成功登录Tomcat管理界面<\/li>
<\/ol>
主要绕过技术<\/h2>
方法一：特殊WAR包命名绕过<\/h3>
技术原理<\/h4>
根据Tomcat官方文档，可以通过foo#bar.war<\/code>的命名方式将应用部署到\/foo\/bar\/<\/code>路径下。利用这一特性，可以构造manager#app.war<\/code>，将恶意代码部署到Nginx代理的\/manager\/*<\/code>路径下。<\/p>
实施步骤<\/h4>

准备恶意WAR包（由于靶场WAF拦截.jsp文件，需使用内存马）<\/li>
将WAR包命名为manager#app.war<\/code><\/li>
通过Tomcat管理界面上传并部署该WAR包<\/li>
访问\/manager\/app\/<\/code>路径下的恶意代码<\/li>
<\/ol>
官方文档参考<\/h4>
Tomcat 5.5 Automatic Application Deployment<\/a><\/p>
方法二：Nginx反向代理限制绕过（路径穿越）<\/h3>
技术原理<\/h4>

Nginx仅代理\/manager\/*<\/code>路径的请求<\/li>
Tomcat在规范化处理URL时会将\/..;\/<\/code>替换为\/..\/<\/code><\/li>
Nginx不会对;<\/code>做特殊处理，导致Tomcat侧可实现路径穿越<\/li>
<\/ul>
实施步骤<\/h4>

构造特殊路径如\/manager\/;\/..\/evil.x<\/code><\/li>
通过路径穿越访问Tomcat上的任意路径<\/li>
配合WAR包部署实现getshell<\/li>
<\/ol>
类似技术<\/h4>
这种绕过方式与Shiro鉴权绕过的方式类似<\/p>
方法三：WAF绕过技术<\/h3>
技术原理<\/h4>

WAF仅拦截上传表单中的.jsp<\/code>文件<\/li>
可以通过修改web.xml<\/code>配置，将其他后缀文件交给JspServlet<\/code>处理<\/li>
<\/ul>
实施步骤<\/h4>


准备特殊目录结构：<\/p>
WEB-INF\/
  └── web.xml
evil.jsp (使用其他后缀如.evil)
<\/code><\/pre>
<\/li>

配置web.xml<\/code>：<\/p>
<servlet><\/span>
<\/span><\/span>    <servlet-name><\/span>jsp<\/servlet-name><\/span>
<\/span><\/span>    <servlet-class><\/span>org.apache.jasper.servlet.JspServlet<\/servlet-class><\/span>
<\/span><\/span><\/servlet><\/span>
<\/span><\/span><servlet-mapping><\/span>
<\/span><\/span>    <servlet-name><\/span>jsp<\/servlet-name><\/span>
<\/span><\/span>    <url-pattern><\/span>*.evil<\/url-pattern><\/span>
<\/span><\/span><\/servlet-mapping><\/span>
<\/span><\/span><\/code><\/pre><\/li>

打包成WAR并上传部署<\/p>
<\/li>

访问\/manager\/app\/evil.evil<\/code>执行恶意代码<\/p>
<\/li>
<\/ol>
方法四：Listener初始化代码执行<\/h3>
技术原理<\/h4>
当WAR包部署时，可以通过Listener的contextInitialized<\/code>方法自动执行代码，实现RCE。<\/p>
实施步骤<\/h4>


创建恶意Listener类：<\/p>
public<\/span> class<\/span> EvilContextListener<\/span> implements<\/span> ServletContextListener {<\/span>
<\/span><\/span>    public<\/span> void<\/span> contextInitialized<\/span>(<\/span>ServletContextEvent sce)<\/span> {<\/span>
<\/span><\/span>        try<\/span> {<\/span>
<\/span><\/span>            Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"恶意命令"<\/span>);<\/span>
<\/span><\/span>        }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span>
<\/span><\/span>            e.<\/span>printStackTrace<\/span>();<\/span>
<\/span><\/span>        }<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>    public<\/span> void<\/span> contextDestroyed<\/span>(<\/span>ServletContextEvent sce)<\/span> {}<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre><\/li>

配置web.xml<\/code>注册Listener：<\/p>
<listener><\/span>
<\/span><\/span>    <listener-class><\/span>EvilContextListener<\/listener-class><\/span>
<\/span><\/span><\/listener><\/span>
<\/span><\/span><\/code><\/pre><\/li>

打包部署WAR包，部署时自动执行恶意代码<\/p>
<\/li>
<\/ol>
替代方案<\/h4>
也可以注册Valve实现类似效果<\/p>
总结与防御建议<\/h2>
技术总结<\/h3>

特殊WAR包命名可绕过路径限制<\/li>
Tomcat与Nginx对URL处理的差异可导致路径穿越<\/li>
WAF可通过修改web.xml配置绕过<\/li>
Listener初始化可实现自动代码执行<\/li>
<\/ol>
防御建议<\/h3>

避免使用弱口令<\/li>
限制Tomcat管理界面的访问权限<\/li>
统一Nginx和Tomcat的URL处理规则<\/li>
加强WAF规则，不仅检查.jsp后缀<\/li>
监控Listener和Valve的注册<\/li>
定期更新Tomcat版本，修复已知漏洞<\/li>
<\/ol>
扩展思考<\/h2>
该靶场展示了多种绕过技术，实际环境中还可以尝试：<\/p>

利用Tomcat的其他特性如Filter、Servlet等实现RCE<\/li>
结合其他中间件特性进行综合绕过<\/li>
使用内存马等更隐蔽的攻击方式<\/li>
<\/ol>
通过此类靶场练习，可以深入理解Web安全中的路径处理、代理差异和WAF绕过等技术，提升安全防护能力。<\/p>

Tomcat文件上传基于Nginx绕过靶场全过程教学文档<\/h1>

环境分析<\/h2>

主要绕过技术<\/h2>

方法一：特殊WAR包命名绕过<\/h3>

技术原理<\/h4>
根据Tomcat官方文档，可以通过`foo#bar.war<\/code>的命名方式将应用部署到\/foo\/bar\/<\/code>路径下。利用这一特性，可以构造manager#app.war<\/code>，将恶意代码部署到Nginx代理的\/manager\/*<\/code>路径下。<\/p>`

官方文档参考<\/h4>
Tomcat 5.5 Automatic Application Deployment<\/a><\/p>

类似技术<\/h4>
这种绕过方式与Shiro鉴权绕过的方式类似<\/p>

方法三：WAF绕过技术<\/h3>

技术原理<\/h4>
当WAR包部署时，可以通过Listener的`contextInitialized<\/code>方法自动执行代码，实现RCE。<\/p>`

替代方案<\/h4>
也可以注册Valve实现类似效果<\/p>

总结与防御建议<\/h2>

Tomcat文件上传基于Nginx绕过靶场全过程教学文档<\/h1>

环境分析<\/h2>

主要绕过技术<\/h2>

方法一：特殊WAR包命名绕过<\/h3>

技术原理<\/h4> 根据Tomcat官方文档，可以通过foo#bar.war<\/code>的命名方式将应用部署到\/foo\/bar\/<\/code>路径下。利用这一特性，可以构造manager#app.war<\/code>，将恶意代码部署到Nginx代理的\/manager\/*<\/code>路径下。<\/p>

官方文档参考<\/h4> Tomcat 5.5 Automatic Application Deployment<\/a><\/p>

类似技术<\/h4> 这种绕过方式与Shiro鉴权绕过的方式类似<\/p>

方法三：WAF绕过技术<\/h3>

技术原理<\/h4> 当WAR包部署时，可以通过Listener的contextInitialized<\/code>方法自动执行代码，实现RCE。<\/p>

替代方案<\/h4> 也可以注册Valve实现类似效果<\/p>

总结与防御建议<\/h2>

技术原理<\/h4>
根据Tomcat官方文档，可以通过`foo#bar.war<\/code>的命名方式将应用部署到\/foo\/bar\/<\/code>路径下。利用这一特性，可以构造manager#app.war<\/code>，将恶意代码部署到Nginx代理的\/manager\/*<\/code>路径下。<\/p>`

官方文档参考<\/h4>
Tomcat 5.5 Automatic Application Deployment<\/a><\/p>

类似技术<\/h4>
这种绕过方式与Shiro鉴权绕过的方式类似<\/p>

技术原理<\/h4>
当WAR包部署时，可以通过Listener的`contextInitialized<\/code>方法自动执行代码，实现RCE。<\/p>`

替代方案<\/h4>
也可以注册Valve实现类似效果<\/p>