常见中间件漏洞复现之【Tomcat】！

Tomcat介绍

               tomcat是⼀个开源⽽且免费的jsp服务器，默认端⼝ : 8080，属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载，是配置JSP（Java Server Page）和JAVA系统必备的⼀款环境。

在历史上也披露出来了很多的漏洞 , 这⾥我们讲⼏个经典的漏洞复现

--------------------------

CVE-2017-12615

                 Tomcat put方法任意文件写入漏洞

漏洞描述

               当 Tomcat运⾏在Windows操作系统时，且启⽤了HTTP PUT请求⽅法（例如，将 readonly初始化参数 由默认值设置为false），攻击者将有可能可通过精⼼构造的攻击请求数据包向服务器上传包含任意代码的 JSP ⽂件，JSP⽂件中的恶意代码将能被服务器执⾏。导致服务器上的数据泄露或获取服务器权限。

---------------------------

漏洞原理

               当在Tomcat的conf（配置⽬录下）/web.xml配置⽂件中添加readonly设置为false时，将导致该漏洞产 ⽣，（需要允许put请求） , 攻击者可以利⽤PUT⽅法通过精⼼构造的数据包向存在漏洞的服务器⾥⾯上传 jsp⼀句话⽂件，从⽽造成远程命令执⾏，getshell等。

--------------------------

影响范围

Apache Tomcat 7.0.0 - 7.0.79

Apache Tomcat 8.5.19

--------------------------

环境搭建

cd vulhub-master/tomcat/CVE-2017-12615

docker-compose up -d

---------------------------

漏洞复现

         打开环境访问页面：

首页抓包，修改为 PUT 方式提交  

       Tomcat允许适⽤put⽅法上传任意⽂件类型，但不允许jsp后缀⽂件上传，因此我们需要配合 windows的

解析漏洞.
PUT /shell.jsp%20
PUT /shell.jsp::$DATA
PUT /shell.jsp/ 

放包，Webshell客户端⼯具进行连接

漏洞修复

设置readonly 为 true

-------------------------------------------

 后台弱口令部署war包

漏洞原理

            在tomcat8环境下默认进⼊后台的密码为 tomcat/tomcat ，未修改造成未授权即可进⼊后台，或者管理员把密码设置成弱⼝令。

 

-------------------------

影响版本

全版本(前提是⼈家存在弱⼝令)

-------------------------

环境搭建

cd vulhub-master/tomcat/tomcat8

docker-compose up -d

-------------------------

漏洞复现

http://1.15.136.212:8080/manager/html
默认密码:tomcat/tomcat

---------------------------

制作WAR包

制作WAR包，将JSP木马压缩为ZIP格式，然后修改后缀为war就可以了。

 ------------------------

⽂件上传成功后，默认会在⽹站根⽬录下⽣成和war包名称⼀致得⽬录，然后⽬录中得🐎就是压缩前得文件名--------测试连接

-----------------

漏洞修复

1.设置强⼝令：

conf/tomcat-users.xml

<user username="tomcat" password="tomcat" roles="manager- gui,manager•script,manager

jmx,manager-status,admin-gui,admin-script" />

2.删除manger⽂件

---------------------------------------------

 CVE-2020-1938

             Tomcat文件包含漏洞

漏洞原理

由于Tomcat AJP协议设计上的缺陷，攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有Webapp⽬录下的任意⽂件，例如：

可以读取webapp配置⽂件或源码⽂件。

此外如果⽬标应⽤有⽂件上传的功能情况下，配合为⽂件包含漏洞利⽤GetShell。

-------------------

影响版本

Apache Tomcat 6

Tomcat 7系列 <7.0.100 Tomcat 8系列 < 8.5.51 Tomcat 9 系列 <9.0.31

-------------------

环境搭建

cd vulhub-master/tomcat/CVE-2020-1938

docker-compose up -d

-------------------

漏洞复现

       搭建环境并且打开点击任何地方都不能输入

打开kali下载cve2020-1938 

        右键在此文件夹打开终端，并且输入 python2 Tomcat-ROOT路径下文件包含(CVE-2020-1938) -p8009 -f 木马文件夹名 ip 

----------------

漏洞修复

1.更新到最新版本

2.关闭AJP服务，修改Tomcat配置文件Service.xml,注释掉。

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

3.配置ajp配置中的secretRequired跟secret属性来限制认证。

---------------

实战挖洞技巧：

fofa
app="tomcat"
server="Apache Tomcat" && body="Apache Tomcat"