前言

Tomcat管理后台存在弱口令可以直接上Webshell，同时，公网上有大量的Tomcat后台可以直接访问到，如何高效的检查Tomcat弱口令也有一点点需求吧^_<，网上找了一圈文章，基本没有看到哪篇文章详细说什么版本的Tomcat后台比较弱鸡易推倒（可能是这个问题不太重要 -_-||），趁着最近蹲家里待业，把以前查到的资料整理出来和大家交流，欢迎评论区讨论。

Tomcat管理后台介绍

在许多生产环境中，Tomcat后台可以在不重启整个容器的前提下部署新的Web应用或取消部署现有的Web应用，此外还可以重新加载现有应用程序，默认路径为是http://x.x.x.x/manager/html/。

主要具有的功能：

部署新的Web应用（可部署Webshell）；

管理现有Web应用，及其连接情况；

显示系统和JVM版本信息、内存使用情况等。

Tomcat后台身份验证安全问题

由于tomcat后台登陆界面和数据包是下图这种“弱不禁爆”的样子，总让人忍不住爆它X。

但是它真的如表面上的那般柔弱吗?我不禁想深入探究一下。在查阅官方文档后，发现Tomcat后台有三处有关后台爆破的安全配置，以7.0.70为例:

在$CATALINA_BASE/conf/tomcat-users.xml添加用户，如：

在$CATALINA_BASE/webapps/manager/META-INF/context.xml配置允许访问的IP，如：

在$CATALINA_BASE/conf/server.xml 中配置用户名密码输入错误次数达到阈值就锁定的功能（可配置错误次数和锁定时间，默认为5次错误锁5分钟，详细配置可以自行查阅官网）

看来还是有三把刷子。

不过一般问题都出现在管理员在生产环境上采用应用默认配置，所以来查一下这三把刷子分别是什么时候给配上的（由于官网只能查到Tomcat 6.0.0版本以上的更新日志，所以仅查Tomcat 6.0.0以上）

$CATALINA_BASE/conf/tomcat-users.xml  在Tomcat 6.0.0及以上无默认用户；

$CATALINA_BASE/webapps/manager/META-INF/context.xml Tomcat 6版本直到Tomcat 6.0.53(写文时的最新版)均未默认开启本地访问，Tomcat 7版本在Tomcat 7.0.107及以上默认仅本地访问（未在更新文档中找到相关说明，可能不准确）

$CATALINA_BASE/conf/server.xml  Tomcat 6版本在6.0.51及以上默认开启错误阈值配置，Tomcat 7版本分两个情况:

在windows平台上用二进制可执行文件（.exe文件）的方式安装，在7.0.8及以上默认开启错误阈值；

其余方式安装均在7.0.1及以上版本默认开启。

对比这三点可以发现，如果想要检查tomcat后台弱口令，考虑到效率及覆盖率问题，比较合适的检查分界点可以参考第3点即默认错误次数阈值配置。具体就是：

Linux服务器仅在6.0.51版本前用大字典爆破，Windows服务器在7.0.8之前用大字典爆破；

写了个小工具，需要的自取：https://github.com/tiny-architect/brute-forceWebapp

Tips:如果还要再提高检查效率，可以再参考第2点，高本版的后台站直接丢弃。

建议

1、生产环境允许更新就更新到最新版本并视情况修改默认配置；

2、无法更新就视情况修改应用默认配置；

3、Tomcat 6版本建议至少更新到6.0.19以后，因为6.0.19之前不支持用户名密码输入错误次数达到阈值就锁定的功能。