Apache Tomcat - 远程代码执行漏洞 - CVE-2024-50379

最新推荐文章于 2025-03-14 10:12:49 发布
最新推荐文章于 2025-03-14 10:12:49 发布
阅读量1.7k 收藏 20
点赞数 14
文章标签: apache tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73360524/article/details/145666328
版权

0x01:漏洞简介

部分版本 Apache Tomcat 由于在验证文件路径时存在缺陷,如果 readonly 参数被设置为 false(这是一个非标准配置),并且服务器允许通过 PUT 方法上传文件,那么攻击者就可以上传含有恶意 JSP 代码的文件。通过不断的发送请求,攻击者可以利用条件竞争漏洞,使得 Tomcat 解析并执行这些恶意文件,从而实现远程代码执行。

该漏洞的利用具有以下两个前提:

  • Tomcat 启用 PUT 方法(在 Tomcat 的 default servlet 配置中将 readonly 设置为 false)。

  • Tomcat 运行在大小写不敏感的操作系统上,比如 Windows。

0x02:影响范围

  • 11.0.0-M1 <= Apache Tomcat < 11.0.2

  • 10.1.0-M1 <= Apache Tomcat < 10.1.34

  • 9.0.0.M1 <= Apache Tomcat < 9.0.98

0x03:环境搭建

环境准备

  • 靶机环境:Windows 7 - IP 172.16.0.102

  • 攻击机环境:Kali Linux - IP 172.16.0.103

0x0301:靶机环境搭建

靶机:Windows 7 服务器配置概览

笔者上面提供了一个 Java JDK 的二进制安装包,解压后添加到环境变量中即可,对应的 Java 版本截图如下:

笔者还提供了一个 9.0.63 的 Apache Tomcat 安装包,也是下载后解压添加到环境变量中即可使用,其版本信息如下(安装方式参考:环境配置 - Java - Apache Tomcat 安装与配置):

除了安装上面这两个环境外,我们还需要修改一下 Apache Tomcat 的配置,将 default servlet 的 readonly 配置修改为 false,开启 Tomcat 的 PUT 功能。(漏洞的前置条件之一)

Tomcat 的配置路径在其安装路径的 /conf/web.xml

以记事本的方式打开它,然后搜索下面的内容:

 <servlet-name>default</servlet-name>

然后在这里添加下面的配置,将 DefaultServlet 的 readonly 参数设置为 false:

 <init-param>
     <param-name>readonly</param-name>
     <param-value>false</param-value>
 </init-param>

0x0302:攻击机环境搭建

攻击机:Kali Linux 服务器配置概览

攻击机中没有什么需要配置的东西,从上面那两个地址中挑一个,将漏洞对应的 POC 上传到靶机中即可,POC 用法如下(下面复现时候会演示):

 ./CVE-2024-50379 -u http://192.168.2.245:8080 -f shell.jsp -p ggsl.jsp
 # -f shell.jsp => 本地要上传的文件
 # -p ggsl.jsp => 保存到目标服务器上的名称(路径)
 # -u => Tomcat 服务器的 url

0x04:漏洞复现

0x0401:开启靶机的 Tomcat 服务

首先来到靶机中,在命令行中输入下面的命令,运行 Tomcat 服务:

 startup

然后我们在攻击机中访问靶机的 8080 端口,看看能不能看到靶机的 Tomcat 服务:

 http://172.16.0.102:8080

0x0402:CVE-2024-50379 漏洞复现

此漏洞的复现十分简单,本质上是一个条件竞争漏洞。我们需要开启两个线程,一个线程不断尝试向 Tomcat 提交包含恶意代码的 JSP 脚本文件,另外一个线程不断的向 Tomcat 请求我们上传的 jsp 文件,如果请求成功的话,jsp 中的恶意代码就会被执行,攻击也就成功了。

上面这个流程很繁琐,但好在,已经有大佬帮忙写好了 POC 了(笔者上面提供的那个),至于恶意脚本,就看个人编程能力了。不过笔者在刚刚提供的那个 POC 中包含了一个测试用的恶意脚本,内容如下:

 <% Runtime.getRuntime().exec("calc.exe");%>

该代码在执行后会让 Windows 电脑弹出一个计算机。

然后我们输入下面的命令,使用 CVE-2024-50379 的 POC,尝试将我们的 test.jsp 上传到目标的 Tomcat 服务器上(运行后需要等待一会):

 chmod +x CVE-2024-50379_linux_amd64 # 为 POC 赋予执行权限
 ./CVE-2024-50379_linux_amd64 -u http://172.16.0.102:8080 -f test.jsp -p test.jsp
 ​
 # -u http://172.16.0.102:8080 => 这个是我们靶机 Tomcat 的地址
 # -f test.jsp => 这个是我们想要上传的文件名
 # -p test.jsp => 这个是期望服务端保存的文件名,随意都行

如上,运行 POC 后等待一会显示 利用成功:http://172.16.0.102:8080/test.jsp,就证明攻击成功了。

现在,只要我们只要一使用浏览器访问上面这个地址,靶机中就会执行 test.jsp 文件,就会弹出一个计算器(笔者这里就通过 Linux 的 curl 命令来模拟浏览器访问啦):

0x05:漏洞分析

下面我们来分析一下这个漏洞产生的原因(不涉及 Tomcat 源码,小白也可轻松看懂)。我们先来了解一下 Tomcat 上传文件的流程:

在 Tomcat 中,当用户刚上传一个 test.JSP(注意,后缀是大写的),然后在一个很短的时间对这个文件发起访问,Tomcat 会调用 getCanonicalPath 方法来获取这个文件的名称,此时返回的名称是 test.jsp。当过一小会后,再次请求该文件时,getCanonicalPath 方法就会返回 test.JSP。

以上其实就是本次漏洞产生的原因(是不是有点蒙),我知道你的疑问:

  • test.JSP 与 test.jsp 有啥差别?

Tomcat 是禁止直接上传 .jsp 文件的,因为后缀为小写的 .jsp 文件,当用户访问时,Tomcat 会交给 jspServlet 处理,它会直接执行文件中的代码。而当用户访问后缀为大写的 .JSP 文件时,Tomcat 会交给 defaultServlet 处理,defaultServlet 在处理文件时,会直接把文件内容返回给浏览器,并不会直接执行它。

然后我们再来了解一下 Tomcat defaultServlet 的 readonly 参数:该参数是用来控制 default servlet 是否允许读写的,默认情况下,readonly 值为 true,表示 default servlet 仅支持读取文件,不允许通过 HTTP 请求(如 PUT 或 DELETE)修改或删除文件。当该参数设置为 false 时,就代表允许 default servlet 进行读写操作,这意味着客户端可以通过 HTTP 请求(如 PUT 或 DELETE)上传,修改或者删除服务器上的文件。

知道了以上信息后,我们再来梳理一下这个漏洞的利用过程:

  1. 因为服务端配置问题,导致用户可以通过 HTTP 请求上传文件。

  2. 攻击者开启一个线程,不断的向服务端上传 test.JSP 文件。(上传的是大写的 JSP 哈)

  3. 攻击者又开启一个线程,不断的尝试请求服务端的 test.jsp 文件。

  4. 服务端收到请求后尝试找 test.jsp 文件,但是由于 Windows 系统大小写不敏感的特性,它找到了 test.JSP 文件(对于 Windows 系统,abc.txtABC.txt 其实是一个文件),然后它就把 test.JSP 文件内容当成 test.jsp 文件,直接给执行了,就造成了 RCE 漏洞。

明确了上面这些后,我们再来看看这个 CVE-2024-50379 POC 的逻辑,首先来到靶机 Tomcat 的根目录看看,路径就是你 Tomcat 安装目录下的 webapps/ROOT

上面框出来的那两个文件就是 POC 一开始上传的文件,这里我们通过 Tomcat 访问看看:

和我们之前介绍的一样,你访问 .Jsp 这种包含大写字母的文件扩展名,经过 Tomcat 处理后会直接显示文件内容,而不会执行。上面那个就是 POC 创建的文件,其实逻辑很简单,content 变量里就是我们本地写的恶意程序经过 base64 编码后的内容,我们可以解码看看:

如上,我们可以推测,这个 POC 先将我们的恶意程序进行 Base64 编码后,保存到 content 字符串中,然后利用 CVE-2024-50379 漏洞,上传一个 .Jsp 文件,并不断访问它,终于有一次,访问成功了,它上传的这个 .Jsp 文件执行,在目标服务器中创建了一个 test.jsp,内容就是 Base64 解码后的恶意程序。

这就是为啥,我们后面即使很慢的访问 test.jsp 也能让目标执行代码的原因。从这里也可以看出来,Tomcat 处理 .Jsp 文件与 .jsp 文件还是有差别的。

0x06:修复方案

安全更新:更新 Apache Tomcat 到最新版本即可解决该漏洞。

修复缓解措施

  1. 在不影响业务的前提下将 conf/web.xml 文件中的 readOnly 参数设置为 true 或直接注释该参数。

  2. 禁用 PUT 方法并重启 Tomcat 服务以启用新的配置。

漏洞复现】Apache Tomcat条件竞争代码执行漏洞CVE-2024-50379
李火火的安全圈
12-23 891
由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致,当启用了默认servlet的写入功能(设置readonly=false且允许PUT方法),未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制,通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行,从而实现远程代码执行
漏洞复现】Apache Tomcat远程代码执行漏洞CVE-2024-56337)
李火火的安全圈
12-24 1971
CVE-2024-56337是一个存在于Apache Tomcat中的TOCTOU(Time-of-Check Time-of-Use)竞争条件漏洞。此漏洞源于对先前漏洞CVE-2024-50379)的不完整修复。若默认servlet是可写的(参数readonly设置值为false,该设置为非默认设置)表示不区分大小写文件系统,在负载下并发读取和上传同一文件可以绕过Tomcat的大小写检查。攻击者可以通过构造恶意请求上传含恶意JSP代码的文件,使其触发解析并执行这些文件,从而导致远程代码执行
Apache Tomcat 远程代码执行漏洞预警(CVE-2024-50379)
m0_37633833的博客
01-07 781
近日,Apache Tomcat官方发布安全公告,披露Apache Tomcat 在特定版本中存在一处远程代码执行漏洞CVE-2024-50379)。由于Apache Tomcat在校验文件路径时存在缺陷,如果对不区分大小写的文件系统启用了默认 servlet 的写入功能(将 readonly 初始化参数设置为非默认值 false),则在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查,并导致上传的文件被视为 JSP,从而导致远程代码执行
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 超详细!
最新发布
欢迎来到我的博客,这里是我分享Python开发心得与信息安全探索的乐园。作为一名热衷于编程与安全的技术爱好者,我始终致力于在Python的世界里深耕细作,探索其强大的功能与无限的可能性。同时,信息安全也是我关注的重点,我深知在这个数字化时代,保护数据安全的
03-14 6094
远程代码执行漏洞(CVE-2025-24813)源于 Apache Tomcat 的反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。‌将 Apache Tomcat 升级至安全版本(Tomcat 11.0.2+、10.1.34+、9.0.98+),以修复反序列化漏洞及 PUT 请求处理缺陷‌。
Apache TomcatCVE-2017-12615)远程代码执行漏洞复现
ximo的博客
04-25 837
漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当 启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。 影响版本 Apache Tomcat 7.0.0 - 7.0.81 环境搭建 docker +
Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)
C_0010的博客
01-13 913
这样就可以修改springboot工程中内置tomcat的版本号
Apache Tomcat远程代码执行漏洞(CVE-2019-0232)
TivonaLH的博客
09-04 4644
受影响的版本 Apache Tomcat 9.0.0.M1 to 9.0.17 Apache Tomcat 8.5.0 to 8.5.39 Apache Tomcat 7.0.0 to 7.0.93 不受影响的版本 Apache Tomcat 9.0.18 Apache Tomcat 8.5.40 Apache Tomcat 7.0.94 解决方案: 关闭enableCmdLineA...
Apache Tomcat 远程代码执行漏洞CVE-2024-50379处置建议和缓解措施
拉丁解牛技术专栏
01-22 304
近期,Apache官方修复了Apache Tomcat 远程代码执行漏洞(CVE-2024-50379), 该漏洞是由于Tomcat在验证文件路径时存在缺陷,如果readonly参数被设置为false(这是一个非标准配置),并且服务器允许通过PUT方法上传文件,那么攻击者就可以上传含有恶意JSP代码的文件。通过不断地发送请求,攻击者可以利用条件竞争,使得Tomcat解析并执行这些恶意文件,从而实现远程代码执行Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 6893
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
apache Tomcat 漏洞
09-27
apache Tomcat 漏洞
Apache Tomcat条件竞争致远程代码执行漏洞复现(CVE-2024-50379)(附脚本)
m0_74823705的博客
12-27 1391
当默认 Servlet 的 readonly 参数被设置为 false(非默认配置)并允许使用 PUT 方法上传文件时,攻击者能够上传包含恶意 JSP 代码的文件并通过条件竞争不断发送请求,触发 Tomcat 对其解析和执行,最终实现远程代码执行Tomcat的主要特点包括易于配置和管理、良好的兼容性以及高性能和可靠性。**因为使用大写的Jspx,Jsp的时候,tomcat用的DefaultServlet来处理允许文件上传。的一个核心项目,支持最新的Servlet和JSP规范,并且是免费的开源软件。
漏洞复现】Apache Tomcat远程代码执行漏洞CVE-2017-12615)
网络安全从业者的学习笔记
12-28 1059
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当 启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
Apache Tomcat 远程代码执行漏洞教程
gitblog_00991的博客
08-27 644
Apache Tomcat 远程代码执行漏洞教程 CVE-2017-12617Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass / Remote Code Execution 项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2017-12617 项...
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 4230
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
Apache Tomcat(CVE-2019-0232)远程代码执行漏洞复现
qq_17754023的博客
02-28 2134
0x00简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上TomcatApache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。 0x01漏洞概述
Apache Tomcat 问题漏洞
weixin_45816407的博客
08-08 1587
Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 信息泄露漏洞(CVE-2023-28708)建议直接升级tomcat的小版本,即就是升级到最新版本注:跨版本升级请自行百度。
CVE-2024-50379漏洞复现
qq_61972142的博客
01-03 4316
CVE-2024-50379Apache Tomcat 条件竞争文件上传漏洞 Apache Tomcat作为一款开源的servlet容器,在全球范围内被大量的企业以及开发者所使用,用来搭建各类的web应用,其安全性也极其的重要; 目录 1、漏洞介绍 2、漏洞影响的版本范围 3、漏洞复现环境搭建 4、复现过程 5、漏洞修复建议 1、漏洞介绍 Apache Tomcat存在着TOCTOU竞争条件的远程代码执行漏洞,该漏洞是因为Apache Tomcat在编译解析jsp期
tomcat最新漏洞
12-31
### Tomcat 最新的安全漏洞信息及补丁 对于希望了解最新安全漏洞信息以及相应修复措施的客户而言,及时应用安全更新至关重要[^1]。Oracle 强烈建议客户尽快部署这些安全修补程序。 为了获取 Apache 软件(包括 Tomcat)的安全漏洞详情,应当联系官方指定的安全邮箱地址 `security@apache.org` 进行报告或查询,任何有关安全性的通信都将被严格保密处理[^2]。 通常情况下,当发现新漏洞时会有一个时间表来协调披露过程,在此期间供应商将准备相应的补丁并设定公开发布日期[^3]。因此,如果想要获得最准确的信息,应该关注官方渠道发布的公告和通知。 针对具体的操作环境,比如基于 Docker 部署的应用场景,则可以考虑创建自定义镜像以集成最新的安全修正版本。这可以通过编写特定于目标平台和服务组件配置的 Dockerfile 来实现[^4]。 ```dockerfile FROM tomcat:latest RUN apt-get update && \ apt-get install -y --no-install-recommends ca-certificates curl wget && \ rm -rf /var/lib/apt/lists/* COPY ./myapp.war /usr/local/tomcat/webapps/ EXPOSE 8080 CMD ["catalina.sh", "run"] ``` 上述示例展示了如何构建一个包含最新版 Tomcat 的 Docker 容器,并确保其内部安装了必要的依赖项以便运行 Web 应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue17 :: Hack3rX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值