tomcat部署web:基于Tomcat的Web服务器的部署

　　环境描述

　　OS:Windows Server 2003

　　IP:192.168.1.12

　　Tomcat:6.0.18

　　1、安全测试

　　(1).登录后台

　　在Windows Server 2003上部署Tomcat切保持默认然后登录Tomcat后台其默认后台地址为:

　　http://192.168.1.12:8080/manager/html在浏览器中输入该地址回车后弹出登录对话框输入默认用户名admin默认密码为空成功登录后台(图1)



　　(2).获得Webshell

　　在Tomcat后台有个WAR file to deploy模块通过其可以上传WAR文件Tomcat可以解析WAR文件能够将其解压并生成web文件我们将个jsp格式webshell用WinRar打包然后将其后缀改名为WAR(本例为gslw.war)这样;个WAR包就生成了最后将其上传到服务器可以看到在Tomcat后台中多了个名为/gslw目录点击该目录打开该目录jsp木马就运行了这样就获得了个Webshell(图2)







　　(3).测试操作

　　创建管理员

　　Tomcat服务默认是以system权限运行因此该jsp木马就继承了其权限几乎可以对Web服务器进行所有操作比如启动服务、删除/创建/修改文件、创建用户我们以创建管理员用户为例进行演示运行jsp木马“命令行”模块分别输入命令net user test test168 /add和net localgroup administrators test /add这样就创建了个具有管理员权限test用户其密码为test168(图3)



　　远程登录

　　我们还可以进步地渗透比如通过“远程桌面”登录Web服务器输入命令netstat -ano查看该服务器3389端口是关闭我们可以利用webshell上传个工具利用其开启Web服务器远程桌面最后我们就可以成功登录系统至此整个Web沦陷(图4)







　　2、安全防范

　　通过上面测试可以看到默认配置下Tomcat服务器安全性是非常差如何来加固Tomcat服务器安全性呢?我们从以下几个方面来加强

　　(1).服务降权

　　默认安装时Tomcat是以系统服务权限运行因此缺省情况下几乎所有Web服务器管理员都具有Administrator权限这和IIS区别存在极大安全隐患所以我们安全设置首先从Tomcat服务降权开始

　　首先创建个普通用户为其设置密码将其密码策略设置为“密码永不过期”比如我们创建用户为Tomcat_lw然后修改Tomcat安装文件夹访问权限为Tomcat_lw赋予Tomcat文件夹读、写、执行访问权限赋予Tomcat_lw对WebApps文件夹只读访问权限如果某些Web应用需要写访问权限单独为其授予对那个文件夹写访问权限(图5)



　　“开始→运行”输入services.msc打开服务管理器找到Apache Tomcat服务双击打开该服务在其实属性窗口中点击“登录”选项卡在登录身份下选中“以此帐户”然后在文本框中输入Tomcat_lw和密码最后“确定”并重启服务器这样Tomcat就以Tomcat_lw这个普通用户权限运行(图6)







　　有时候我们需要在命令行下运行Tomcat这时候可以在命令下输入命令runas /user:tomcat_lw cmd.exe回车后并输入密码这样就开启个Tomcat_lw权限命令行最后定位到Tomcatbin文件夹下输入命令tomcat6.exe即以Tomcat_lw在命令行下启动Tomcat(图7)



　　这样普通用户Tomcat_lw运行Tomcat其权限就大大地降低了就算是攻击者获得了Webshell也不能进步深入从而威胁web服务器安全



　　(2).更改端口

　　Tomcat默认端口是8080攻击者可以据此运行扫描工具进行端口扫描从而获取部署了TomcatWeb服务器然后实施攻击因此为了安全期间我们可以修改此默认端口在Tomcat安装路径conf目录下找到server.xml文件用记事本打开然后搜索8080找到对应字段然后将8080自行修改为另外数字另外需要介绍说明是connectionTimeout="20000"是连接超时maxThreads="150"是最大线程类似这样参数也可以根据需要进行修改(图8)









　　(3).禁止列表

　　我们知道在IIS中如果设置不当就会列出Web当前目录中所有文件在Tomcat也不例外如果浏览者可以在客户端浏览Web目录那将会存在较大安全隐患因此我们要确认Tomcat设置中禁止列目录设置文件是web.xml也在conf目录下用记事本打开该文件搜索init-param在其附近找到类似如下字段:　　


<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>　　



　　确认是false而不是true(图9)



　　(4).用户管理

　　Tomcat后台管理员为admin并且默认为空密码安全期间我们需要修改该默认用户名并为其设置健壮密码其配置文件为tomcat-users.xml用记事本打开该文件然后进行修改其中role标签表示其权限manager介绍说明是管理员权限;user标签表示后台管理用户可以看到用户名为admin我们可以将其修改为个陌生用户;可以看到password后面为空密码我们可以为其设置个复杂密码最后修改配置完成tomcat-users.xml文件为:　
<?xmlversion='1.0'encoding='utf-8'?>
<tomcat-users>
<rolerolename="manager"/>
<rolerolename="admin"/>
<userusername="gslw"password="test168"roles="admin,manager"/>
</tomcat-users>

　　(图10)







　　(5).页面

　　Tomcat不像IIS提供了各种类型页如果Tomcat发生就会显示千篇律页面其实我们可以通过修改其配置文件从而自定义设置其页面显示打开web.xml文件在最后行的前添加如下语句:　　
<error-page>
<error-code>401</error-code>
<location>/401.htm</location>
</error-page>
<error-page>
<error-code>404</error-code>
<location>/404.htm</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/500.htm</location>
</error-page>



　　当然仅仅设置这样语句还不行需要创建相应401.htm、404.htm、500.htm这样文件才行另外要把页面文件放到webapps\manager目录中否则需要在web.xml中指定其路径最后效果如图11所示(图11)



　　整理总结:Tomcat区别于IIS其配置没有图形界面而是通过修改配置文件来完成不过正如此用户有更多自主性可以根据自己需要进行扩展而且其和Apache可以无缝结合打造安全、强大Web服务器

延伸阅读

• 2009-10-2-- tomcat服务器:打造安全的Tomcat服务器
• 2009-9-12-- tomcat服务器:入侵Tomcat服务器
• 2009-10-6-- tomcat服务器配置:JSP基础01[tomcat服务器的配置及使用]
• 2008-12-18-- tomcat服务器:Tomcat 服务器下 JSP 页面中文问题解答
• 2009-1-16-- apachetomcat整合:Linux下Tomcat和Apache Web服务器的整合
• 2009-9-26-- tomcat部署:Tomcat方便快捷地部署
• 2009-1-16-- tomcat服务器配置:Tomcat 服务器server.xml的关键参数配置
• 2009-2-12-- tomcat服务器:Tomcat服务器漏洞修补思路方法