WindowsTomcat 服务日志分析

一、了解Tomcat日志

打开 C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\logs 文件夹，可以看到在该文件 夹下有多个日志文件。

 可通过文件logging.propertie（于C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\conf） 对以上这些日志的特性进行配置。

 默 认 Tomcat 不 记 录 访 问 日 志 ， 需 要 编 辑 server.xml 文 件 （ 位 于 C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\conf）进行设置，把该文件中框中的上 下行注释<!---->去掉

设 置 好 文 件 后 保 存 并 退 出 ， 重 启 Tomcat ， 打 开 桌 面 上 的 火 狐 浏 览 器 访 问 http://192.168.1.3:8080，访问 http://127.0.0.1:8080/manager/html，输入用户名 tomcat 和密 码 tomcat 进行登录，此时会在 logs 目录下生成 localhost_access_log.日期.txt 文件，记录访问 Tomcat 的日志信息

 进入 logs 目录（位于 C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\logs）打开访问 日志进行查看。

使用msfconsole爆破tomcat用户名密码

进入到 Kali2020 中，使用 Ctrl+Alt+T 打开终端，输入 msfconsole 回车打开 msf 控制台。

 输入命令“useauxiliary/scanner/http/tomcat_mgr_login”加载 tomcat_mgr_login 模块，再输 入命令“showoptions”显示选项。

 输入命令“setrhosts192.168.1.3”设置目标主机。为了提高破解速度可以启动多个线程，但 是不要太多，这里将线程数设置为 1，输入命令“setthreads1”。为了防止服务器负载过高， 输入命令“setbruteforce_speed3”限制请求速度。

 输入命令“run”开始进行破解，在破解的过程中输出尝试登录信息，带+的是正确密码，破 解得到想要的结果后可按 Ctrl+C 键停止破解。如果要想在找到正确密码之后停止，设置命令 为“setSTOP_ON_SUCCESStrue"

 所以密码为 tomcat：tomcat

分析Tomcat的攻击日志

在Windows7上打开C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\logs文件夹下的访 问日志，文件名称类似 localhost_access_log.2021-08-12.txt。

 在多条日志信息中有一条日志记录与其他日记记录不同，其 http 状态码为 200，还有远程通 过 验 证 的 用 户 名 tomcat ， 说 明 暴 力 破 解 出 了 tomcat 的 密 码 。 192.168.1.2-tomcat[12/Aug/2023:16:16:04+0800]"GET/manager/htmlHTTP/1.1"200 12537

对Tomcat进行安全加固

 检查目前使用的 Tomcat 版本是否存在安全漏洞，如果存在，需要升级到新的安全版本。在 选择 Tomcat 的版本时，选择最新的稳定版本。这样可以在安全性和稳定性之间取得一个很 好的平衡。如果从低版本升级到高版本时，建议先在测试环境中测试通过后再进行升级，以 避免由于兼容性带来的问题。关于 Tomcat 的安全漏洞可以关注官方发布的安全公告 （https://tomcat.apache.org/security.html），也可以关注一些漏洞发布平台的最新 Tomcat 漏洞信息。在安装时使用自定义的安装路径，并自定义 WEB 根目录（可以在 Tomcat 安装目 录 的 conf 目 录 下 的 server.xml 中 修 改 默 认 WEB 根 目 录 ， conf 路 径 为    C:\ProgramFiles\ApacheSoftwareFoundation\Tomcat5.5\conf）。修改默认 WEB 根目录，在框 起 来 内 容 之 前 加 入 类 似 的 内 容，作用为设置 Tomcat 虚拟路径，path 代表虚拟目录，可自定义也可以为空，docBase 代 表物理路径。如果按上面的设置，当访问 http://127.0.0.1:8080 时实际访问的是 C:\website 目录下的文件。如果 path 的值不为空，如设置为 path=”/web”时，那么访问时应该这样： http://127.0.0.1:8080/web。在修改完成后，需要重启 tomcat 服务生效。

 在 Windows 环境下，Tomcat 默认以 System 权限运行，这样的后果是一旦成功入侵 WEB 应 用，将直接得到一个高权限的 Webshell，并且不需要提权操作就可以完全控制服务器。在任 务栏右击点击“启动任务管理器”可以看到。

 对 Tomcat 进行降权操作。首先新建一个用户，设置复杂的密码，并且让它不属于任何用户 组。打开 cmd，输入 netusertomcat"Test123"/add 来添加一个 tomcat 用户，密码为 Test123， 在输入 netlocalgroupuserstomcat/del，删除 tomcat 用户组，使 tomcat 用户不属于任何用户 组，密码切忌使用强密码，这是只是举例方便。单击“开始”→“控制面板”→“系统和安全”→“管 理工具”→“本地安全策略”。

 单击“开始”→“控制面板”→“系统和安全”→“管理工具”→“本地安全策略”。

 打开“本地策略”->“用户权限分配”，右键“作为服务登录”，选择“属性”

 单击“添加用户或组”。 在输入对象名称来选择中输入 WINDOWS-PC\tomcat，点击确定。点击应用后点击确定。

 单击“开始”→“控制面板”→“系统和安全”→“管理工具”→“服务”。找到 Tomcat 的服务，右键“属 性”→“登录”，用刚新建的 tomcat 帐号运行 Tomcat 服务，密码为 Test123。点击应用后显示 重启后生效，点击确定。

 重启服务

 在任务管理器查看tomcat用户，降权成功

 配置好后，需要重启 Tomcat 服务才能生效，在服务中 tomcat 服务右击点击重新启动。在任 务管理器查看 tomcat 用户，降权成功。Tomcat 默认并没有开启访问日志，所以需要手工开 启它。打开 server.xml（在 Tomcat 安装目录的 conf 目录下），开启方法参考日志介绍。修 改日志的默认保存路径（例如修改为 C:\LogFiles），在 TomcatConfigure 中的 Logging 中将 LogPath 改为其他路径（例如修改为 C:\LogFiles），点击确定。

将 C:\LogFiles 设置只允许系统管理员有日志保存目录的完全控制权限（如果没有 tomcat 用 户请点击添加），tomcat 帐户有“读取”和“写入”权限即可，然后点击应用确定。

 Tomcat 默认存在一个管理后台，如果配置不当的话会引起非常严重的安全漏洞。在最开始 的实例中就是利用该漏洞成功入侵目标服务器的。因此，非常有必要对它进行安全加固。一 般 情 况 下 不 需 要 该 功 能 ， 所 以 建 议 删 除 该 管 理 页 面 。方法是将%tomcat_home%/conf/Catalina/localhost 目录下的 manager.xml 删除掉。如果一定要使用的 话，建议将该 manager.xml 的文件名修改为一个难猜测出来的文件名。并且找到 Tomcat 安 装目录的 conf 目录下的 tomcat-users.xml，设置一个复杂的管理员帐号和密码。