tomcat管理界⾯弱⼝令扫描
关于tomcat弱⼝令扫描问题,应当注意两点。第⼀是版本问题。
在tomcat6及6之前,是可以直接暴⼒破解的。
抓⼀下tomcat登陆管理界⾯的数据包,可以看出,其认证⽅式是在http的请求header中添加⼀个字段为 Authorization,这个字段的值是“Basic ba64(urname:password)”,因此在暴⼒破解时,只需要在请求包中添加该字段即可。
在tomcat6以后,默认是做了暴⼒破解的限制的。查看官⽅⽂档,对 LockOut Realm - org.alm.LockOutRealm 类有说明,其中有⼀个参数为 “failureCount”,⽂档中对该参数的说明为” The number of times in a row a ur has to fail authentication to be locked out. Defaults to 5.”,默认尝试5次失败后,账号被锁定。该参数在配置⽂件l中默认⽆配置,在⽆配置的情况下,默认是5次错误机会。可以显式配置在<Realm>中(该Realm的className必须是
电脑组装机配置
org.alm.LockOutRealm),如下:
failureCount=”3” lockOutTime=”3000”
入党流程时间当尝试5次错误密码后,账号被锁定,即使输⼊正确密码,也返回401错误,且这个错误和密码输⼊错误的返回结果是⼀样的,如下:
因此在编写弱⼝令扫描插件时,要注意如果尝试次数过多,即使字典中有正确密码,会提⽰401错误,⽽且和密码错误的返回结果相同,很容易误认为是脚本的问题。这点要注意。解决办法就是在测试时,将l中添加 failureCount=”999999”
lockOutTime=”0”。
电脑截图快捷方式第⼆个要注意的是,密码正确时,不⼀定返回200,返回403也是密码正确的情况。
从 tomcat的配置⽂件 l 中可以看出,认证所需要的信息有“roles”,”urnmae”,”password”,即,返回200的条件是⽤户a的⽤户名、密码正确且有权限访问该功能。role称为⾓⾊,如果⼀个⽤户是某个⾓⾊,则代表它能够访问该⾓⾊定义的功能。
在tomcat中,⾓⾊⼀共有manager-gui,manager-script,manager-jmx,manager-status四种,具体解释如下。
当⽤户真实存在但没有相应⾓⾊时,访问对应权限会提⽰403错误。如下:
因此在编写测试脚本时,要考虑这种情况,返回403错误,也属于密码正确。婆婆生日祝福语
香飘四季
第三个要注意的是,在tomcat6及以后的版本,已经取消了默认⽤户。在tomcat6之前,是存在默认⽤户的,⽤户名是admin,密码是空。因此这种情况也要考虑进去。虽然现在使⽤tomcat5的已经⽐较少了。如下。由于我的tomcat是docker安装的,这个tomcat5版本官⽅没有,是下载的别⼈封装的。因此密码是否为空⽆法证实。从⽹上查得为空。如下为默认配置。
代码核⼼逻辑如下:
禁锢的近义词headers = {'Authorization': 'Basic %s==' % (ba64.b64encode(urname + ':' + password))}
淘宝虚假交易try:
r = (url, headers=headers, timeout=3)
print r.status_code
if r.status_code == 200:
print 'weakpass'
医院证明模板
elif r.status_code == 403:
print 'weakpass'
elif r.status_code == 401:
continue
except:
pass
