AXIS2-TOMCAT MANAGER

En esta entrada obtendremos acceso a la máquina vulnerable a través de TOMCAT MANAGER, consiguiendo las claves de acceso mediante una vulnerabilidad en el servicio de Axis2.

Recursos y software utilizado:

Kali Linux 2.0

ZENMAP

DIRBUSTER

MSFVENOM

Axis2 and Tomcat Manager (ISO de Pentesterlab)

Guía de explotación:

En primer lugar realizaremos el escaneo con la interfaz gráfica de Nmap, el denominado Zenmap, para obtener la versión del servidor Apache que está utilizando y en segundo lugar, para conseguir la versión Tomcat que está corriendo en el servidor, induciremos un error en la URL de nuestro servidor vulnerable y veremos la información que nos desprende.

Zenmap_010.png

Apache Tomcat-6.0.35 - Error report - Mozilla Firefox_011.png

Como observamos en la imagen superior en la última línea nos informa que el server Apache Tomcat está corriendo la versión 6.0.35. Acto seguido, seguiremos realizando nuestro fingerprinting y en esta ocasión utilizaremos un “directory buster”, para ver que servicios web están hospedados en el servidor, para ello utilizaremos DirBuster.

OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing_013.png

 Como vemos hay un servicio llamado Axis2, el cual sirve para que los desarrolladores creen sus servicios web, tanto en lenguaje C como en JAVA. Con nuestro navegador, vamos a ver que información de interés encontramos navegando por esos directorios..

Axis2 Happiness Page - Mozilla Firefox_014.png

Por fin encontramos algo que nos ayudará muchísimo en la fase de explotación, la versión del servicio de Axis2 que corre el servidor, http://192.168.69.2/axis2/axis2-web/HappyAxis.jsp.

Ahora toca googlear un poco para ver si esta versión es vulnerable a algún tipo de ataque y para ello navegaremos directitos a la web de “Common Vulnerabilities and Exposures”, https://www.cvedetails.com/cve/CVE-2012-5785,  como vemos efectivamente hay errores de seguridad que nos permitirán realizar un LFI en toda regla y poder ver archivos limitados por la aplicación que regula los privilegios del servidor.

Siguiendo con nuestra búsqueda de información en este directorio http://192.168.69.2/axis2/services/ProxyService?wsdl, encontramos un archivo el cual nos dice que a través del método GET, podemos utilizar el parámetro uri, el cual nos devolverá una cadena de texto por medio de nuestro navegador.

Poniendo en práctica lo que nos decía el archivo anterior, montaremos nuestro payload de esta forma http://192.168.69.2/axis2/services/ProxyService, añadiremos el método /get?, el parámetro uri=, y intentaremos que nos muestre el directorio file:///etc/ y el archivo file:///etc/passwd, resumiendo:

http://192.168.69.2/axis2/services/ProxyService/get?uri=file:///etc/

http://192.168.69.2/axis2/services/ProxyService/get?uri=file:///etc/passwd 

Obteniendo así todo el directorio de la carpeta /etc/ el cual nos ayudará para el siguiente paso que será vulnerar el TOMCAT MANAGER.

Mozilla Firefox_015fileetc.png

Después de vulnerar la aplicación Axis2, nos quedará ver, cómo podemos acceder al panel de administración de Apache Tomcat, que anteriormente habíamos conseguido extraer su versión, forzándole un error mediante nuestro navegador y su dirección URL.

A través del LFI (local file inclusión) encontrado en la aplicación Axis2, obtendremos las claves de acceso, de nuestro querídisimo TOMCAT, ya que tenemos acceso a la carpeta /etc/tomcat6/tomcat-users.xml, las cuales contienen los usernames y passwords para acceder al panel de administración.

tomcatpass.png

Nos dirigimos a la página de login de Tomcat http://192.168.69.2 y accedemos con las claves username=”manager” password=”!mp0ss!bl32gu355″ ya que es el usuario que tiene privilegios de administrador.tomcat6admin.png

Authentication Required_019tomcat6.png

Una vez dentro del TOMCAT manager, vemos que tenemos varias opciones de subir archivos al servidor y uno de ellos es subirlo mediante la extensión .war (de Web Application Archive – Archivo de aplicación web), básicamente es un archivo JAR que sirve para distintos usos JAVA en la aplicación web.

-manager - Mozilla Firefox_020.png

shellsubiendo.png

Para la explotación utilizaremos una webshell camuflada en un archivo .war y todo ello lo lograremos gracias al framework MSFVENOM que viene de serie con nuestro queridísimo METASPLOIT.

comando.png

Lo que hacemos paso a paso en la  imagen anterior es, creamos un directorio dónde poder trabajar, dentro de éste creamos la webshell en .jsp, ponemos nuestra dirección IP y el puerto al cual queremos que conecte y por último lo camuflamos todos en un archivo .war para que el servidor web nos lo deje subir.

Una vez con el archivo subido dejaremos escuchando netcat en el puerto 4444 y conectaremos mediante una reverse shell, obteniendo así acceso al sistema!

reverse1.pngreverse2.png

Cualquier duda o sugerencia tenéis mi email y sino en comments de la página, saludos!.

Anuncios

Deja un comentario