据报道,我们庄园的其中一台服务器使用“Apache”默认用户名和密码。我们从安全监控工具“envision”得到的消息如下
SEND String[GET /manager/html HTTP/1.0\x0d\x0a\x0d\x0a] THEN CHECK Contains/^HTTP\/1\.[01] 401/ WITH Length[12] BEFORE Contains[\x0d\x0aWWW-Authenticate: Basic realm="Tomcat Manager Application"] BEFORE Contains[\x0d\x0a\x0d\x0a]
THEN RECONNECT THEN SEND String[GET /manager/html HTTP/1.0\x0d\x0aAuthorization: Basic YWRtaW46\x0d\x0a\x0d\x0a] THEN CHECK Contains/^HTTP\/1\.[01] [23][0-9]{2}/ WITH Length[12]
有人可以帮助理解上述声明检查的内容吗?
如何将这些[\x0d\x0a\x0d\x0a]转换为人类可读的格式?
答案 0 :(得分:1)
Apache Tomcat是一个开源的Servlet容器。
使用Apache Tomcat的管理器界面,您可以在服务器中部署新的Web应用程序。这受到用户名和密码的保护,但在这种情况下,管理员似乎没有实现强大的凭据。
攻击者可以猜测(“暴力攻击”)用户名和密码,部署恶意应用程序,例如Web Shell,允许他/她执行命令并接管受影响的服务器。
“\ x0d \ x0a \ x0d \ x0a”部分,如果您将“\ x”替换为“%”,然后将其解码为URL格式,其中每两个字符是HEX中的表示,则可以是人类可读的ASCII可读字符。在这种情况下,两个字符“%0d%0a”是跳线。
部分说:
授权:基本YWRtaW46
是一种弱授权方法,其中凭证通过标头传送并且它们在Base 64中编码。在这种情况下,将“YWRtaW46”字符串解码为B64将意味着“admin:”。
通过这个我们可以翻译你在“我使用用户名admin和没有密码在路径/ manager / html中找到Apache Tomcat中的弱管理面板”中显示的警告